Millones en riesgo: Se descubren Extensiones Peligrosas en los Navegadores Más Populares
Usuarios de Chrome, Firefox y Edge se vieron sorprendidos al descubrir que diversas extensiones que parecían inofensivas escondían de hecho, malware. El riesgo es notable, afectando a cientos de miles.
Ya al comienzo de este nuevo año, una de las preocupaciones principales es la constante amenaza de ciberataques. Según informes recientes, se han detectado 17 extensiones maliciosas que se instalaron alrededor de 840.000 veces en los navegadores Chrome, Firefox y Edge, y que pueden continuar activas.
El ataque forma parte de una campaña llamada ‘GhostPoster’, detectada por primera vez en diciembre por el equipo de Koi Security. Estas extensiones que presentaban funciones de utilidad, como traductores, bloqueadores de anuncios o descargadores de contenido, ocultaban en realidad, código JavaScript malicioso dentro de las imágenes de sus iconos.
Este código malicioso permitía espiar la actividad del usuario en internet, redirigir enlaces de afiliados, y ejecutar estafas publicitarias sin ser detectados.
Los expertos detallan que el malware podría inyectar iframes ocultos en las páginas visitadas por los usuarios y controlar su actividad online sin que ellos lo notaran. Además, podía conectarse a servidores externos para evolucionar en su complejidad y eficacia.
El origen de la campaña se rastrea primero en Microsoft Edge, luego se propagó a Firefox y Chrome. Algunas extensiones maliciosas fueron accesibles desde 2020.
Para ser conscientes del potencial daño de estas extensiones, la lista completa incluye: Google Translate in Right Click, Translate Selected Text with Google, Ads Block Ultimate, Floating Player – PiP Mode, Convert Everything, Youtube Download, One Key Translate, AdBlocker, Save Image to Pinterest on Right Click, Instagram Downloader, RSS Feed, Cool Cursor, Full Page Screenshot, Amazon Price History, Color Enhancer, Translate Selected Text with Right Click, y Page Screenshot Clipper.
De manera más técnica, el modus operandi del malware consiste en ocultar el código malicioso en imágenes o archivos que el navegador interpreta como normales. En segundo plano, un script extrae ese código, lo decodifica y lo ejecuta sin que el usuario lo note.
Específicamente, en el caso de la extensión Instagram Downloader, la técnica evolucionó para ocultar el código malicioso en un archivo de imagen dentro de la extensión y activarse mediante un script que escanea los bytes de esa imagen. Esto permite al malware permanecer inactivo durante semanas o meses antes de ser activado.