Muchas veces instalamos extensiones sin pensar demasiado. Sirven algo concreto, ocupan poco y están allí cuando los necesitamos. Algunos incluso tienen miles de opiniones, buena evaluación y años de presencia en la tienda.
Ahora sabemos que Una investigación ha descubierto Que varios de ellos ocultaron un sistema de vigilancia capaz de seguir nuestros pasos a través de la red. No eran estafas obvias: eran herramientas útiles, bien hechas y, sobre todo, en silencio.
La extensión que descubrió el problema. «Color de selección, Eyedropper – Geco Colorpick» fue una de las muchas extensiones útiles. Se permite seleccionar colores desde cualquier lugar de la pantalla y funcionó bien. Más de 100,000 usuarios lo instalaron, con valoraciones positivas y sello de verificación incluidos. A los ojos de cualquiera, no había razón para desconfiar.
Según los investigadores de seguridad de KOIDurante mucho tiempo fue completamente legítimo. Hasta que no lo fuera. En una de sus actualizaciones, sin advertencias o cambios visibles para el usuario, la extensión comenzó a registrar páginas visitadas y enviar esa información a un servidor remoto. También mantuvo una conexión activa con una infraestructura de control.
Fue solo el comienzo. Al profundizar en el caso, los investigadores detectaron patrones comunes en su código y comportamiento. Lo que encontraron fue una red más amplia y más coordinada que bautizaron como ‘redDirección’.
Según el informe, al menos 18 extensiones diferentes fueron parte de esta operación. Todos estaban disponibles en tiendas Chrome y Edge, y juntas acumularon más de 2.3 millones de instalaciones. Algunos fueron transmitidos por herramientas de productividad, otras para las ganancias del entretenimiento. Había teclados emojis, controladores de velocidad para videos, extensiones de tiempo, problemas de VPN oscuros o supuestos para desbloquear servicios como Tiktok o Discord. Todo con algo en común: ofrecían una función legítima … mientras espían en segundo plano.
Lo que hicieron fue no instalar malware clásico. Estas extensiones implementaron un sistema de secuestro de navegador que se activaba cada vez que el usuario abría una nueva pestaña o navegaba a otra página. El código malicioso estaba oculto en la extensión del servicio de sustancia y no interfirió con su funcionalidad principal.
El mecanismo funcionaba así: cada vez que se cargaba un sitio web, la URL se envió a un servidor remoto junto a un identificador de usuario único. A partir de ahí, los atacantes podrían ordenar una redirección automática hacia una página falsa o simplemente registrar la actividad. Todo sucedió en segundo plano, sin alertas, sin ventanas emergentes, sin fallas visibles.
Las extensiones no eran maliciosas desde el día. Y eso es lo que hace que esta campaña sea especialmente peligrosa. Según los investigadores, muchos de ellos pasaron meses, o incluso más, ofreciendo su funcionalidad sin ningún comportamiento sospechoso. Todo cambió en una actualización.
El equipo técnico sostiene que el código malicioso se introdujo en versiones posteriores, cuando las extensiones ya tenían la confianza de miles de usuarios. Y a medida que los navegadores se actualizan automáticamente, el cambio se aplicó sin que nadie se diera cuenta. No se necesitaba ningún clic. Ni ingeniería social. Ni phishing.
¿Y los mecanismos diseñados para proteger al usuario? Varias de las extensiones maliciosas se verificaron o aparecieron como se destacó en las plataformas Chrome y Edge. Otros acumularon revisiones positivas y una base de usuarios sólido. Todo eso contribuyó a los desapercibidos cuando cambiaron su comportamiento.
Estas son las extensiones directamente vinculadas a la campaña de RedDirection, según el análisis realizado por los investigadores de seguridad de KOI. Todos ellos ofrecieron funciones aparentemente legítimas, pero fueron identificados como parte del mismo esquema de secuestro del navegador:
- Color Picker, Eyedropper – Geco Colorpick
- Teclado emoji en línea: copia y pegue tu emoji
- Pronóstico del tiempo gratis
- Clima
- Video del controlador de velocidad – Administrador de videos
- Desbloquear Discord – VPN proxy para desbloquear Discord en cualquier lugar
- Desbloqueo Tiktok-Seamless Access con proxy de un solo clic
- Desbloquear VPN de YouTube
- Tema oscuro – Dark Reader para Chrome
- Volumen Max – Ultimate Sound Booster
- Volumen de refuerzo: aumente su sonido
- Equalizador de sonido web
- Flash Player – Emulador de juegos
- Valor de encabezado
- Desbloquear a Tiktok
- Refuerzo de volumen
- Equalizador de sonido web
- Reproductor
Según la computadora BleepingAlgunas de estas extensiones ya se han eliminado de las tiendas Chrome y Edge, pero otras aún están disponibles para el alta. Tanto Google como Microsoft han sido notificados por el equipo de seguridad de KOI, pero por ahora no han tomado medidas generales en el conjunto completo de extensiones detectadas en la campaña.
Imágenes | Koi Security | Captura de pantalla
En | Hay algo que no estamos haciendo lo suficiente y que debemos para nuestra propia seguridad: eliminar las cuentas antiguas