(wwwhatsnew.com).- Las extensiones de Chrome no siempre son tan seguras como parecen, por lo que siempre hay que ir con mucho cuidado a la hora de instalarlas.
Hay muchas de ellas que se presentan como aplicaciones de billetera de criptomonedas como Ledger, MyEtherWallet, Trezor, Electrum y otras, y por lo visto hay algunas que en realidad estaban robando las claves privadas y frases mnemotécnicas de los usuarios.
Así lo han descubierto en zdnet, donde indican que Google ha eliminado 49 extensiones de Chrome de la tienda web que se hicieron pasar por aplicaciones legítimas de billetera de criptomonedas pero contenían código malicioso que robaba claves privadas de criptomonedas.
Las 49 extensiones fueron descubiertas por Harry Denley, Director de Seguridad de la plataforma MyCrypto. Por lo visto fueron creadas por un mismo grupo con base en Rusia.
Para realizar las pruebas se ingresaron las credenciales de una cuenta (de test) en una de las extensiones maliciosas, sin embargo, los fondos no fueron robados de inmediato. Por lo visto el objetivo era robar fondos solo de cuentas de alto valor, por eso no se denunció inmediatamente. Otra posibilidad es que el atacante no haya descubierto cómo automatizar los robos y tenga que acceder a cada cuenta manualmente.
Debido a la naturaleza de la mayoría de las criptomonedas, las víctimas no pueden recuperar ninguno de los fondos robados, y el criminal aún está en libertad, por lo que la investigación solo está empezando.
Para evitar pasar por este tipo de situaciones, recordad siempre los pasos:
1 – Tened bien identificado al creador del plugin que se va a instalar. Nombre, datos de contacto, reputación… cuanto más datos, mejor.
2 – Verificad artículos de opinión del plugin en medios especializados
3 – Si el plugin es de código abierto, mejor, así no oculta nada raro. Prestad atención a ese detalle.
Google siempre intenta filtrar los plugins de su tienda de Chrome, pero ya sabemos que a veces se escapan amenazas.
.
Comentario del autor: Juan Diego Polo
No soy muy amigo de las extensiones para los navegadores web, aunque reconozco que no puedo vivir sin algunas de ellas.
Me dan miedo, sé que hay muchas amenazas ocultas en los plugins, que muchos de ellos no se verifican correctamente antes de subirse a las tiendas, y miles de extensiones obtienen más datos de nuestras costumbres de navegación de las estrictamente necesarias.
El caso es que ahora Google me da la razón eliminando más de 500 extensiones maliciosas de Chrome de su tienda web oficial. Eso ha sido por causa de una investigación de dos meses realizada por el investigador de seguridad Jamila Kaya y el equipo Duo Security de Cisco.
Las extensiones inyectaban anuncios maliciosos dentro de las sesiones de navegación de los usuarios. El código malicioso inyectado por las extensiones se activó bajo ciertas condiciones y redirigió a los usuarios a sitios específicos. En algunos casos, el destino sería un enlace de afiliado en sitios legítimos como Macys, Dell o BestBuy; pero en otros casos, el enlace de destino sería algo malicioso, como un sitio de descarga de malware o una página de phishing.
El equipo de investigación también cree que el grupo que organizó esta operación podría haber estado activo desde principios de 2010.
En ZDNet obtuvieron información sobre el caso, y verificaron que lo descubrieron porque había visitas a sitios maliciosos que tenían un patrón de URL común.
Aprovechando CRXcavator, un servicio para analizar extensiones de Chrome, Kaya descubrió un grupo inicial de extensiones que se ejecutan sobre una base de código casi idéntica, pero utilizan varios nombres genéricos, con poca información sobre su verdadero propósito.
Según el investigador, estas primeras series de extensiones tuvieron un recuento total de instalación de más de 1.7 millones de usuarios de Chrome. Después de su propia investigación, Google encontró aún más extensiones que se ajustan al mismo patrón y prohibió más de 500 extensiones en total. No está claro cuántos usuarios habían instalado las más de 500 extensiones maliciosas, pero es muy probable que el número esté en el rango de millones.
.
Moraleja: usar únicamente plugins con buena reputación, de marcas en las que confiéis, y que ayuden en vuestro trabajo.
