Se ha detectado que
dos extensiones fraudulentas que se hacen pasar por AdBlock y uBlock introducen
cookies en los navegadores de millones de afectados para generar ingresos por
publicidad de forma fraudulenta.
Dado que las extensiones
web agregan a los navegadores funciones útiles que mejoran la experiencia en
línea y ayudan con la productividad, los atacantes aprovechan la confianza de
los usuarios para amenazar su privacidad y seguridad mediante extensiones
maliciosas.
Las extensiones se
sitúan entre el navegador y la red, interceptando, modificando e incluso
bloqueando las peticiones según las funcionalidades para las que fueron
diseñadas. Por tanto, se convierten en el eslabón más débil del modelo de
seguridad de los navegadores web. Aparte de las extensiones creadas con
propósitos fraudulentos, también hay que vigilar aquellas extensiones legítimas
que se vuelven maliciosas tras obtener una base de datos de usuarios masiva o
que han sido pirateadas.
Los investigadores de
Adguard han identificado dos extensiones de Chrome que copian los nombres de
extensiones populares para conseguir que los usuarios desprevenidos se las
instalen: AdBlock de AdBlock, Inc (con más de 800 000 usuarios) y uBlock de
Charlie Lee (con más de 850 000 usuarios). Aunque estas extensiones actúan como
cualquier Ad Blocker, eliminando los anuncios de las webs visitadas, los
investigadores detectaron un esquema de fraude encubierto consistente en la
agregación de cookies de seguimiento para la generación de ingresos por
publicidad para sus desarrolladores.
Esta estrategia de
fraude es uno de los tipos más populares, consistente en la introducción de una
serie de cookies de seguimiento, sin el consentimiento del usuario, que
permiten espiar los hábitos de navegación del afectado. Además, en el caso de
que se realice alguna compra en línea, el responsable de la cookie ilegítima
puede reclamar comisiones de ventas, robando potencialmente el crédito de la
atribución de terceros de manera fraudulenta.
Las dos extensiones
de bloqueo reportadas enviaban solicitudes a una URL para cada nuevo dominio
que los usuarios visitaban, analizando los hábitos de navegación de los
afectados durante aproximadamente 55 horas. Con 1,6 millones de usuarios
activos, estas extensiones estaban rellenando cookies de más de 300 sitios web
entre los más populares del Top 10 000 de Alexa, incluidos Teamviewer,
Microsoft, LinkedIn, Aliexpress y booking.com, que potencialmente generaban
millones de dólares al mes para sus desarrolladores, según los investigadores.
Dado que Google
permite la creación de extensiones con nombres repetidos, hasta que no se ha
denunciado la estrategia de fraude no se ha retirado del Chrome Web Store.
Además, el sistema de fraude permite a los propietarios de los programas de
afiliados seguir el rastro del dinero y descubrir quién está detrás de estas
extensiones.
No hay que olvidar
que las extensiones del navegador tienen permiso para acceder a todas las
páginas web visitadas, por lo que, entre otras cosas, pueden incluso robar las
contraseñas de las cuentas en línea. Por lo que se aconseja mucha prudencia a
la hora de instalar extensiones, limitándose a aquellas que pertenezcan a
autores de confianza.
Fuente: Hispasec