Existen muchas amenazas de seguridad que pueden afectar a los navegadores. Esto puede provocar que roben datos personales, contraseñas o registren todo el historial de navegación. En este artículo, nos hacemos eco de un caso llamativo, ya que se trata de un malware que ha afectado a Google Chrome, Mozilla Firefox y Edge durante 5 años. Además, cuenta con cientos de miles de instalaciones.
Vamos a explicarte en qué consiste esta amenaza y qué debes hacer para protegerte. Es fundamental que lo elimines cuanto antes, en caso de que lo tengas instalado. Te daremos también algunas recomendaciones sobre cómo actuar para no tener problemas de seguridad de este tipo y que puedan afectarte en tu día a día.
Malware oculto en el navegador durante 5 años
Un grupo de investigadores de seguridad de Koi Security, empresa especializada en ciberseguridad, detectó el pasado mes de diciembre este malware conocido como GhostPoster. La peculiaridad es que se trata de una campaña maliciosa que ha estado activa durante 5 años y utiliza extensiones para navegadores como Google Chrome, Mozilla Firefox o Edge.
Ahora, tras este descubrimiento de Koi Security, desde LayerX Security, otra empresa especializada en seguridad informática, comenzaron a rastrear la infraestructura que hay detrás de esta extensión. Su investigación ha revelado 17 complementos más que utilizan los mismos sistemas y, en total, se han instalado 870.000 veces. En ocasiones, han permanecido en los dispositivos de los usuarios por 5 años.
Además, desde LayerX detectaron otra variante aún más avanzada, dentro de la misma campaña, que utilizó métodos de evasión adicionales. En este caso, este complemento tuvo 3822 instalaciones. Aunque representa una cantidad inferior, su diseño mostró una gran capacidad y planificación cuidadosa.
Una extensión detectada por Koi Security, es Free VPN Forever. Aunque ha sido eliminada de las tiendas de complementos de Firefox y Chrome, no significa que haya desaparecido de los equipos de los usuarios. Además, añaden que, en general, utilizan mucho lo de “VPN free” para colar extensiones maliciosas. Recientemente vimos el caso de la extensión Urban VPN proxy, que también fue detectada por parte de Koi Security.
Te dejamos un listado con las extensiones maliciosas conocidas:
| Nombre de la Extensión | Navegador(es) | Nota Importante |
|---|---|---|
| Free VPN Forever | Chrome, Firefox | Identificada en la investigación inicial |
| Screenshot Saved Easy | Firefox | Más de 98,000 instalaciones |
| Weather Best Forecast | Chrome | Más de 85,000 instalaciones |
| Google Traductor ESP | Edge, Firefox | Suplanta la identidad de una herramienta legítima |
| Dark Reader for FF | Firefox | Clon malicioso de una extensión popular |
| CrxMouse Gesture | Chrome | Funcionalidad de gestos de ratón |
| Cache Fast Site Loader | Chrome | Promete acelerar la carga de webs |
| FreeMP3 Downloader | Chrome, Firefox | Descarga de música |
| Google Translate Right Clicks | Firefox | Funcionalidad de traducción |
| World Wide VPN | Chrome | Otra extensión de VPN fraudulenta |
| Nota: Esta lista contiene 10 de las 17 extensiones identificadas. Se recomienda una revisión exhaustiva de todos los complementos no esenciales. |
Este es el impacto que pueden tener estas extensiones maliciosas en tu dispositivo:
| Acción Técnica | Riesgo Directo para el Usuario | Fuente del Hallazgo |
|---|---|---|
| Redirección de enlaces de afiliados | Pérdida económica para creadores de contenido y fraude en compras online. | LayerX Security |
| Inyección de iframes invisibles | Fraude publicitario, consumo de recursos del sistema y posible vector para más malware. | Koi Security |
| Eliminación de cabeceras CSP/X-Frame | Aumenta la vulnerabilidad a ataques de ‘clickjacking’ y robo de datos en otras webs. | Informe Técnico |
| Capturas de pantalla remotas | Robo de contraseñas, datos bancarios, conversaciones privadas y cualquier información confidencial visible. | Informe Técnico |
| Inyección de código de seguimiento | Monitorización de todo el historial de navegación y creación de perfiles de comportamiento sin consentimiento. | LayerX Security |
Qué hacer
Algo fundamental, es mantener el sentido común. Asegúrate de no instalar extensiones fuera de lugares oficiales. No obstante, nuestra recomendación es que limites el número de complementos que tienes instalados en el navegador, ya sea Chrome, Firefox o cualquier otro. Es una vía de entrada muy utilizada por los atacantes. Te recomendamos que lleves una revisión constante y elimines aquellas que puedan ser sospechosas.
Además, es imprescindible tener tus dispositivos actualizados. Asegúrate de tener la última versión de Windows o de cualquier sistema operativo que utilices, así como de aplicaciones que formen parte de tu día a día, como es el navegador. Esto te ayudará a evitar vulnerabilidades que puedan explotar.
Por otra parte, contar con programas de seguridad puede ser de utilidad. Te ayudará a detectar y eliminar amenazas en forma de malware. No obstante, aunque tengas un antivirus instalado, no va a hacer milagros, por lo que podrías tener muchos problemas de seguridad que no detectará.
En definitiva, cuidado con las extensiones que tienes instaladas en tu navegador. Como has podido comprobar, incluso hay campañas que han estado activas durante 5 años. Es imprescindible que revises todo muy bien y no des facilidades a los atacantes.
