Más de dos millones de usuarios de Google Chrome y Microsoft Edge han sido víctimas de lo que los investigadores de ciberseguridad de Koi Security denominan una campaña de malware "sofisticada", una de las mayores operaciones de secuestro de navegadores descubierta por la empresa de ciberseguridad.
La campaña, denominada RedDirection, se centraba en un conjunto de 18 extensiones maliciosas para navegadores que se podían descargar tanto desde la Chrome Web Store de Google como desde Edge Add-ons de Microsoft, según un informe de Koi Security publicado el 8 de julio. Todas las extensiones identificadas, que se enumeran al final de este artículo junto con sus números de identificación, fueron eliminadas de ambas plataformas.
Las extensiones maliciosas parecían legítimas y ofrecían herramientas como proxies VPN para TikTok y Discord, desbloqueadores de YouTube, previsiones meteorológicas, controladores de velocidad de video y teclados emoji. Sin embargo, según las conclusiones de Koi Security, en segundo plano habilitaban de forma secreta el seguimiento encubierto de la actividad de navegación de los usuarios, recopilaban las URL de las páginas visitadas y extraían identificadores de seguimiento únicos.
"No se trata de ataques teóricos", escribió Idan Dardikman, de Koi Security. "Con 2.3 millones de usuarios bajo vigilancia en dieciocho extensiones diferentes, la campaña crea una capacidad masiva y persistente de ataque man-in-the-middle que puede explotarse en cualquier momento. Cada clic, cada visita a un sitio web, cada transacción en línea se convierte en un vector de ataque potencial en esta vasta red".
El malware implementa lo que Dardikman describió como un "sofisticado mecanismo de secuestro del navegador" que se activa cada vez que un usuario navega a un nuevo sitio web. Puede capturar la dirección del sitio web y enviarla a un servidor remoto, junto con el número de identificación de seguimiento único del usuario. Los hackers también pueden configurar el malware para redirigir automáticamente a los usuarios a diferentes sitios web, que son potencialmente dañinos.
Aunque Koi Security no atribuyó públicamente la operación a un actor malicioso o un Estado concreto, los investigadores describieron RedDirection como una iniciativa muy organizada y "especialmente tortuosa" que supuso una de las mayores operaciones de secuestro de navegadores que la empresa ha documentado jamás. Muchas de las extensiones funcionaban inicialmente tal y como se anunciaba, lo que les ayudó a obtener valoraciones positivas de los usuarios y a eludir las sospechas en las tiendas oficiales de navegadores.
"Imagina que inicias sesión en el sitio web de tu banco", escribió Dardikman en el informe. "La extensión captura tu solicitud y te redirige sin problemas a una réplica perfecta de la página de inicio de sesión de tu banco, alojada en los servidores del atacante. Introduces tus contraseñas, pensando que estás accediendo de forma segura a tu cuenta, pero acabas de entregar tu información bancaria a los ciberdelincuentes".
Koi Security recomendó a los usuarios que hayan instalado alguna de las 18 extensiones de la campaña RedDirection que la eliminen inmediatamente y, a continuación, borren sus datos de navegación para eliminar cualquier identificador de seguimiento que pueda estar almacenado en sus ordenadores. La empresa también instó a los usuarios a realizar un análisis completo del sistema en busca de malware para detectar otras infecciones, y recomendó que vigilen sus cuentas para detectar cualquier actividad sospechosa.
Una revisión tanto de la Chrome Web Store de Google como del mercado de complementos de Edge de Microsoft indicó que las 18 extensiones ya no están disponibles para su descarga.
The Epoch Times se contactó con Google y Microsoft para obtener comentarios.
A continuación se proporciona una lista de las extensiones maliciosas conocidas vinculadas a RedDirection, junto con sus ID de extensión únicos, para su referencia:
Extensiones de Chrome:
-Teclado Emoji online: copia y pega tus emojis (ID: kgmeffmlnkfnjpgmdndccklfigfhajen)
-Previsión meteorológica gratuita (ID: dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
-Controlador de velocidad de vídeo: gestor de vídeos (ID: gaiceihehajjahakcglkhmdbbdclbnlf)
-Desbloquear Discord: proxy VPN para desbloquear Discord en cualquier lugar (ID: mlgbkfnjdmaoldgagamcnommbbnhfnhf)
-Tema oscuro: lector oscuro para Chrome (ID: eckokfcjbjbgjifpcbdmengnabecdakp)
-Volume Max: amplificador de sonido definitivo (ID: mgbhdehiapbjamfgekfpebmhmnmcmemg)
-Desbloquea TikTok: acceso sin interrupciones con un proxy de un solo clic (ID: cbajickflblmpjodnjoldpiicfmecmif)
-Desbloquea YouTube VPN (ID: pdbfcnhlobhoahcamoefbfodpmklgmjm)
-Selector de color, cuentagotas: Geco colorpick (ID: eokjikchkppnkdipbiggnmlkahcdkikp)
-Tiempo (ID: ihbiedpeaicgipncdnnkikeehnjiddck)
Extensiones Edge:
-Desbloquear TikTok (ID: jjdajogomggcjifnjgkpghcijgkbcjdi)
-Amplificador de volumen: aumenta el sonido (ID: mmcnmppeeghenglmidpmjkaiamcacmgm)
-Ecualizador de sonido web (ID: ojdkklpgpacpicaobnhankbalkkgaafp)
-Valor de encabezado (ID: lodeighbngipjjedfelnboplhgediclp)
-Flash Player: emulador de juegos (ID: hkjagicdaogfgdifaklcgajmgefjllmd)
-Youtube Unblocked (ID: gflkbgebojohihfnnplhbdakoipdbpdm)
-SearchGPT: ChatGPT para motores de búsqueda (ID: kpilmncnoafddjpnbhepaiilgkdcieaf)
-Desbloquear Discord (ID: caibdnkmpnjhjdfnomfhijhmebigcelo).
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
