Estas 17 extensiones de Chrome meten virus en resultados de Google

El ataque, bautizado por Avast como CacheFlow, afecta a un total de 28 extensiones, incluyendo algunas como Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader y VK Unblock. España se encuentra en el quinto puesto de países más afectados por estas extensiones, sólo por detrás de Brasil, Ucrania, Francia y Argentina.

Modificando los resultados de Google

El ataque comenzaba cuando los usuarios descargaban las extensiones maliciosas. Una vez instalada, la extensión mandaba solicitudes de analítica, que imitaban a las de Google Analytics, a un servidor remoto. A partir de ahí, el servidor mandaba una cabecera de Cache-Control HTTP que contenía comandos ocultos para descargar una segunda carga que era la encargada de descargar el código JavaScript malicioso final. Todo ello era difícil de detectar, ya que este tipo de solicitudes no se había detectado hasta la fecha.

La extensión robaba datos personales como fechas de nacimiento, direcciones de correo, ubicación, y actividad del dispositivo, centrado específicamente en recopilar datos de Google. Para recopilar la fecha de nacimiento, la extensión enviaba una solicitud XHR a la dirección https://myaccount.google.com/birthday, y de ahí seleccionaba los datos.

El código malicioso también inyectaba código en cada pestaña, usándola para secuestrar clicks de webs legítimas y modificar los resultados de motores de búsqueda en Chrome y Edge, como Google, Bing y Yahoo, para llevar al usuario a otras webs. Esto podía dar pie por ejemplo a phishing, llevando por ejemplo a una web que se haga pasar por PayPal en lugar de la red. Los enlaces que se modificaban eran los de los anuncios, los cuales salen al principio en cada búsqueda.

La extensión estaba configurada para no realizar ningún comportamiento sospechoso durante los tres primeros días después de su instalación. Además, comprobaba si el usuario era avanzado o un desarrollador analizando las extensiones que tenía instaladas, así como si visitaba enlaces como .dev, .local o .localhost.

Listado de las 17 extensiones maliciosas

Todos estos detalles permitieron a los desarrolladores operar sin ser descubiertos con las extensiones, llegando a infectar a millones de usuarios. La campaña de infección lleva activa por lo menos desde octubre de 2017. El listado de extensiones, con su correspondiente código para identificarlas en la tienda de extensiones de Chrome, es el siguiente:

• Direct Message for Instagram – mdpgppkombninhkfhaggckdmencplhmg
• DM for Instagram – fgaapohcdolaiaijobecfleiohcfhdfb
• Invisible mode for Instagram Direct Message – iibnodnghffmdcebaglfgnfkgemcbchf
• Downloader for Instagram – olkpikmlhoaojbbmmpejnimiglejmboe
• App Phone for Instagram – bhfoemlllidnfefgkeaeocnageepbael
• Stories for Instagram – nilbfjdbacfdodpbdondbbkmoigehodg
• Universal Video Downloader – eikbfklcjampfnmclhjeifbmfkpkfpbn
• Video Downloader for FaceBook™ – pfnmibjifkhhblmdmaocfohebdpfppkf
• Vimeo™ Video Downloader – cgpbghdbejagejmciefmekcklikpoeel
• Zoomer for Instagram and FaceBook – klejifgmmnkgejbhgmpgajemhlnijlib
• VK UnBlock. Works fast. – ceoldlgkhdbnnmojajjgfapagjccblib
• Odnoklassniki UnBlock. Works quickly. – mnafnfdagggclnaggnjajohakfbppaih
• Upload photo to Instagram™ – oknpgmaeedlbdichgaghebhiknmghffa
• Spotify Music Downloader – pcaaejaejpolbbchlmbdjfiggojefllp
• The New York Times News – lmcajpniijhhhpcnhleibgiehhicjlnk
• FORBES – lgjogljbnbfjcaigalbhiagkboajmkkj
• Скачать фото и видео из Instagram – akdbogfpgohikflhccclloneidjkogog

Todas las extensiones afectadas fueron eliminadas el 18 de septiembre de 2020 por parte de Microsoft y Google para evitar que el resto de usuarios las utilizasen. Además, también las hasn borrado de los navegadores de los usuarios afectados.