Se identificaron un programa malicioso en al menos 28 extensiones de terceros de Google Chrome y Microsoft Edge asociadas con algunas de las plataformas más populares del mundo. El malware redirige el tráfico del usuario a anuncios o sitios de phishing para robar datos personales.

Los investigadores creen que el objetivo detrás de esto es monetizar el tráfico. Por cada redireccionamiento a un dominio de terceros, los ciberdelincuentes recibirían un pago. No obstante, la extensión también tiene la capacidad de redirigir a los usuarios a anuncios o sitios de phishing.

“Nuestra hipótesis es que las extensiones se crearon deliberadamente con el malware integrado o el autor esperó a que las extensiones se hicieran populares y luego lanzó una actualización que contenía el malware. También podría ser que el autor vendiera las extensiones originales a otra persona después de crearlas, y luego el comprador introdujo el malware”, dijo Jan Rubín, Investigador de Malware en Avast, en un comunicado difundido por la empresa.

El equipo de inteligencia de amenazas de esta entidad comenzó a monitorear esta amenaza en noviembre de 2020, pero cree que podría haber estado activa durante años sin que nadie se diera cuenta. Hay reseñas en Chrome Web Store que mencionan el secuestro de enlaces desde diciembre de 2018. Rubín añadió: “Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta a cualquier software de seguridad descubrirlas”.

El malware ha sido bastante difícil de detectar ya que tiene la capacidad de “ocultarse”. El investigador de malware Jan Vojtěšek, dijo que “el virus detecta si el usuario está buscando en Google uno de sus dominios o, por ejemplo, si el usuario es un desarrollador web y, de ser así, no realizará ninguna actividad maliciosa en sus navegadores. El malware evita infectar a personas con mayor conocimiento en desarrollo web, ya que podrían averiguar más fácilmente qué están haciendo las extensiones en segundo plano”.

En este momento, algunas de las extensiones infectadas todavía están disponibles para descargar, otras ya fueron eliminadas. Avast asegura que se puso en contacto con los equipos de Microsoft y Google Chrome para reportarlas. Tanto Microsoft como Google confirmaron que actualmente están investigando el problema. Mientras tanto, se recomienda a los usuarios que deshabiliten o desinstalen las extensiones por ahora, hasta que se resuelva el problema, y luego escaneen y eliminen el malware.

El malware ha sido bastante difícil de detectar ya que tiene la capacidad de “ocultarse”, según advierten los especialistas (REUTERS/Kacper Pempel/Ilustración/Archivo)
La lista de extensiones detectadas afectadas se encuentra a continuación:

Direct Message for Instagram

Direct Message for Instagram™

DM for Instagram

Invisible mode for Instagram Direct Message

Downloader for Instagram

Instagram Download Video & Image

App Phone for Instagram

App Phone for Instagram

Stories for Instagram

Universal Video Downloader

Universal Video Downloader

Video Downloader for FaceBook™

Video Downloader for FaceBook™

Vimeo™ Video Downloader

Vimeo™ Video Downloader

Volume Controller

Zoomer for Instagram and FaceBook

VK UnBlock. Works fast.

Odnoklassniki UnBlock. Works quickly.

Upload photo to Instagram™

Spotify Music Downloader

Stories for Instagram

Upload photo to Instagram™

Pretty Kitty, The Cat Pet

Video Downloader for YouTube

SoundCloud Music Downloader

The New York Times News

Instagram App with Direct Message DM