Más de 1,31 millones de usuarios intentaron instalar extensiones de navegador web maliciosas o no deseadas al menos una vez, según muestran los nuevos hallazgos de la firma de seguridad cibernética Kaspersky.
“Desde enero de 2020 hasta junio de 2022, más de 4,3 millones de usuarios únicos fueron atacados por adware escondido en las extensiones del navegador, lo que representa aproximadamente el 70 % de todos los usuarios afectados por complementos maliciosos y no deseados”, dijo la empresa. dijo.
Hasta 1.311.557 usuarios entran en esta categoría en la primera mitad de 2022, según los datos de telemetría de Kaspersky. En comparación, el número de dichos usuarios alcanzó su punto máximo en 2020 con 3 660 236, seguido de 1 823 263 usuarios únicos en 2021.
La amenaza más frecuente es una familia de adware llamada WebSearch, que se hace pasar por lectores de PDF y otras utilidades, y viene con capacidades para recopilar y analizar consultas de búsqueda y redirigir a los usuarios a enlaces de afiliados.
WebSearch también se destaca por modificar la página de inicio del navegador, que contiene un motor de búsqueda y una serie de enlaces a fuentes de terceros como AliExpress que, cuando la víctima hace clic, ayudan a los desarrolladores de extensiones a ganar dinero a través de enlaces de afiliados.
«Además, la extensión modifica el motor de búsqueda predeterminado del navegador a search.myway[.]com, que puede capturar las consultas de los usuarios, recopilarlas y analizarlas”, señaló Kaspersky. “Dependiendo de lo que el usuario haya buscado, los sitios de socios más relevantes se promocionarán activamente en los resultados de búsqueda”.
Un segundo conjunto de extensiones involucra una amenaza llamada AddScript que oculta su funcionalidad maliciosa bajo la apariencia de descargadores de videos. Si bien los complementos ofrecen las funciones anunciadas, también están diseñados para comunicarse con un servidor remoto para recuperar y ejecutar un código JavaScript arbitrario.
Se dice que más de un millón de usuarios encontraron adware solo en el primer semestre de 2022, con WebSearch y AddScript dirigidos a 876,924 y 156,698 usuarios únicos.
También se encontraron instancias de malware para robar información como FB Stealer, cuyo objetivo es robar las credenciales de inicio de sesión de Facebook y las cookies de sesión de los usuarios que han iniciado sesión. FB Stealer ha sido responsable de 3077 intentos únicos de infección en el primer semestre de 2022.
El malware identifica principalmente a los usuarios que buscan software pirateado en los motores de búsqueda, con FB Stealer entregado a través de un troyano llamado NullMixer, que se propaga a través de instaladores pirateados para software como SolarWinds Broadband Engineers Edition.
«FB Stealer es instalado por el malware y no por el usuario», dijeron los investigadores. «Una vez agregado al navegador, imita la extensión de Chrome inofensiva y de aspecto estándar Google Translate».
Estos ataques también tienen una motivación financiera. Los operadores de malware, después de apoderarse de las cookies de autenticación, inician sesión en la cuenta de Facebook del objetivo y la secuestran cambiando la contraseña, bloqueando efectivamente a la víctima. Los atacantes pueden entonces abusar del acceso para pedir dinero a los amigos de la víctima.
Los hallazgos llegan poco más de un mes después de que Zimperiumm revelara una familia de malware llamada ABCsoup que se hace pasar por una extensión de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox.
Para mantener el navegador web libre de infecciones, se recomienda que los usuarios utilicen fuentes confiables para descargar software, revisar los permisos de extensión y revisar y desinstalar periódicamente los complementos que «ya no usa o que no reconoce».