Espionaje masivo a usuarios de Google Chrome muestra nueva debilidad de seguridad

Enlace Judío México e Israel.- Un esfuerzo de software espía recientemente descubierto atacó a los usuarios a través de 32 millones de descargas de extensiones al navegador web Chrome líder en el mercado de Google

Un esfuerzo de software espía recientemente descubierto atacó a los usuarios a través de 32 millones de descargas de extensiones al navegador web Chrome líder en el mercado de Google, dijeron a Reuters investigadores de Awake Security, destacando el fracaso de la industria tecnológica para proteger los navegadores, ya que se usan más para correo electrónico, nóminas y otras funciones sensibles, informó The Jerusalem Post.

Google, de Alphabet Inc, dijo que eliminó más de 70 de los complementos maliciosos de su Chrome Web Store oficial después de ser alertados por los investigadores el mes pasado.

“Cuando se nos alerta de extensiones en la tienda web que violan nuestras políticas, tomamos medidas y usamos esos incidentes como material de capacitación para mejorar nuestros análisis automáticos y manuales”, dijo a Reuters el portavoz de Google Scott Westover.

La mayoría de las extensiones gratuitas pretendían advertir a los usuarios sobre sitios web cuestionables o convertir archivos de un formato a otro. En cambio, desviaron el historial de navegación y los datos que proporcionaron credenciales para acceder a herramientas comerciales internas.

En relación a la cantidad de descargas, fue la campaña de la tienda Chrome maliciosa de mayor alcance hasta la fecha, según el cofundador y científico jefe de Awake, Gary Golomb.

Google se negó a discutir cómo era el último software espía en comparación con las campañas anteriores, la amplitud del daño o por qué no detectó y eliminó las extensiones malas por sí solo a pesar de promesas pasadas de supervisar las ofertas más de cerca.

No está claro quién estuvo detrás del esfuerzo por distribuir el malware. Awake dijo que los desarrolladores proporcionaron información de contacto falsa cuando enviaron las extensiones a Google.

“Cualquier cosa que lo lleve al navegador o al correo electrónico de alguien u otras áreas sensibles sería un objetivo para el espionaje nacional y el crimen organizado”, dijo el ex ingeniero de la Agencia de Seguridad Nacional Ben Johnson, quien fundó las compañías de seguridad Carbon Black y Obsidian Security.

Las extensiones fueron diseñadas para evitar la detección por parte de compañías antivirus o software de seguridad que evalúa la reputación de los dominios web, dijo Golomb.

Si alguien usó el navegador para navegar por la web en una computadora doméstica, se conectaba a una serie de sitios web y transmitía información, encontraron los investigadores. Usando una red corporativa, con servicios de seguridad, no transmitía la información confidencial ni siquiera llegaba a las versiones maliciosas de los sitios web.

“Esto muestra cómo los atacantes pueden usar métodos extremadamente simples para ocultar, en este caso, miles de dominios maliciosos”, dijo Golomb.

Todos los dominios en cuestión, más de 15,000 vinculados entre sí en total, se compraron de un pequeño registrador en Israel, Galcomm, conocido formalmente como CommuniGal Communication Ltd.

Awake dijo que Galcomm debería haber sabido lo que estaba sucediendo.

En un intercambio de correos electrónicos, el propietario de Galcomm, Moshe Fogel, dijo a Reuters que su compañía no había hecho nada malo.

“Galcomm no está involucrado, y no está en complicidad con ninguna actividad maliciosa”, escribió Fogel. “Se puede decir exactamente lo contrario, cooperamos con las fuerzas del orden y los cuerpos de seguridad para evitar todo lo que podamos”.

Fogel dijo que no había constancia de las consultas que Golomb dijo que hizo en abril y nuevamente en mayo a la dirección de correo electrónico de la compañía para informar sobre el comportamiento abusivo, y solicitó una lista de dominios sospechosos. Reuters le envió esa lista tres veces sin obtener una respuesta sustancial.

La Internet Corp para nombres y números asignados, que supervisa a los registradores, dijo que había recibido pocas quejas sobre Galcomm a lo largo de los años, y ninguna sobre malware.

Si bien las extensiones engañosas han sido un problema durante años, están empeorando. Inicialmente arrojaron anuncios no deseados, y ahora es más probable que instalen programas maliciosos adicionales o rastreen dónde están los usuarios y qué están haciendo para espías gubernamentales o comerciales.

Los desarrolladores maliciosos han estado utilizando Chrome Store de Google como un conducto durante mucho tiempo. Después de que uno de cada 10 envíos se considerara malicioso, Google dijo en 2018 que mejoraría la seguridad, en parte aumentando la revisión humana.

Pero en febrero, el investigador independiente Jamila Kaya y Duo Security de Cisco Systems descubrieron https://duo.com/labs/research/crxcavator-malvertising-2020 una campaña similar de Chrome que robó datos de aproximadamente 1,7 millones de usuarios. Google se unió a la investigación y encontró 500 extensiones fraudulentas.

“Hacemos barridos regulares para encontrar extensiones que utilizan técnicas, códigos y comportamientos similares”, dijo Westover de Google, en un lenguaje idéntico al que Google dio después del informe de Duo.