Google eliminó recientemente 106 extensiones más de su Chrome Web Store después de que se descubriera que recolectaban ilegalmente datos confidenciales de los usuarios como parte de una «campaña de vigilancia global masiva» dirigida a los sectores de petróleo y gas, finanzas y atención médica.
Awake Security, que reveló los hallazgos a fines de la semana pasada, dijo que los complementos maliciosos del navegador estaban vinculados a un único registrador de dominios de Internet, GalComm.
Sin embargo, no está claro de inmediato quién está detrás del esfuerzo del spyware.
«Esta campaña y las extensiones de Chrome involucradas realizaron operaciones como tomar capturas de pantalla del dispositivo de la víctima, cargar malware, leer el portapapeles y recolectar activamente tokens y entradas de usuarios», dijo Awake Security.
Las extensiones en cuestión se hicieron pasar por utilidades que ofrecen capacidades para convertir archivos de un formato a otro, entre otras herramientas para una navegación segura, mientras se basan en miles de reseñas falsas para engañar a los usuarios desprevenidos para que las instalen.
Además, los actores detrás de la operación aprovecharon las técnicas de evasión para evitar que las soluciones antimalware marcaran los dominios como maliciosos, lo que permitió que la campaña de vigilancia pasara desapercibida.
En total, las extensiones se descargaron casi 33 millones de veces en el transcurso de tres meses antes de que Awake Security contactara a Google en mayo.
El gigante de las búsquedas, en respuesta a las revelaciones, ha desactivado las extensiones problemáticas del navegador. Se puede acceder a la lista completa de ID de extensiones infractoras aquí.
Los datos de telemetría han revelado que algunas de estas extensiones estaban activas en las redes de «servicios financieros, petróleo y gas, medios y entretenimiento, salud y productos farmacéuticos, comercio minorista, alta tecnología, educación superior y organizaciones gubernamentales», aunque no hay evidencia de que en realidad se utilizaron para recopilar datos confidenciales.
«Galcomm no está involucrado y no es cómplice de ninguna actividad maliciosa», dijo a Reuters el propietario del registrador con sede en Israel, Moshe Fogel, lo que rompió el desarrollo.
Las extensiones engañosas en Chrome Web Store han seguido siendo un problema, ya que los malos actores las explotan para publicidad maliciosa y otras campañas de robo de datos.
A principios de febrero, Google eliminó 500 extensiones plagadas de malware después de que se detectaron sirviendo adware y enviando la actividad de navegación de los usuarios a servidores controlados por atacantes. Luego, en abril, la compañía retiró otro conjunto de 49 extensiones que se hacían pasar por monederos de criptomonedas para robar información de Keystore.
Se recomienda que los usuarios revisen los permisos de extensión visitando «chrome: // extensions» en el navegador Chrome, consideren desinstalar aquellos que rara vez se usan o cambien a otras alternativas de software que no requieran un acceso invasivo a la actividad del navegador.
