Las extensiones de Google Chrome personalizan la navegación en función de las necesidades y preferencias de los usuarios, además, agregan funciones adicionales, cambian la apariencia del propio navegador e incluso ajustan la configuración de privacidad. Desde Google se encargan de revisarlas para que no contengan ninguna amenaza, pero ni siquiera las que son fiables y hemos utilizado siempre se libran de ser un peligro.
Decimos esto porque Cyberhaven, una la empresa de ciberseguridad de EE. UU. que cuenta con su propia extensión de Google, ha sufrido un ciberataque, publicándose una versión de la misma, pero con un malware, aunque no ha sido la única víctima.
Más de 30 extensiones de Google con millones de usuarios han sido infectadas
Según un comunicado de la propia empresa, sufrieron un ataque en el día de Nochebuena en el que vieron comprometido el acceso a la tienda de Google Chrome, publicándose una versión con un software malicioso. Por suerte, la compañía logró eliminarlo una hora después de su detección, pero resulta que este ataque forma parte de una gran campaña de phishing dirigida a los desarrolladores de extensiones de Chrome.
Tal y como informan en el medio Bleeping Computer, esta campaña ha infectado, al menos, 35 extensiones utilizadas por unas 2.600.000 personas para introducir códigos de robo de datos. Entre ellas se encuentra Cyberhaven y, mediante un ataque de phishing, los ciberdelincuentes se tomaron el control de la cuenta de la empresa. Lo que hicieron fue mandar un correo electrónico a la cuenta de soporte alegando una incidencia con la extensión que provocaría su eliminación de la tienda de Chrome.
Desde el grupo de extensiones Chromium de Google Group publicaron que "El enlace en este correo electrónico parece ser el de una tienda web, pero lleva a un sitio web de phishing que intentará tomar el control de su extensión de Chrome y probablemente la actualizará con malware". Es decir, se hace creer al desarrollador de la extensión que la descripción de su software contiene información engañosa y debe aceptar las políticas de Chrome Web Store.
Pero si el desarrollador hace clic en el botón integrado “Ir a la política” para entender lo ocurrido, se lo lleva a una página de inicio de sesión legítima en el dominio de Google para una aplicación OAuth maliciosa, explican desde el medio. El objetivo de los atacantes era hacerse con el control del ID de Facebook del usuario, el token de acceso, la información de la cuenta, la información de la cuenta publicitaria y las cuentas comerciales de las víctimas. Cyberhaven ya ha comunicado que la extensión 24.10.4 ya no está disponible para su descarga.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
