Després d’acumular milers d’usuaris, les extensions QuickLens i ShotBird van rebre actualitzacions que permetien executar codi remot o enganyar els usuaris per instal·lar programari maliciós.

Les extensions malicioses de navegador són un problema del qual es parla sovint en ciberseguretat. Tot i això, una investigació recent mostra una variant especialment enganyosa d’aquest fenomen: complements que funcionen amb normalitat durant mesos —o fins i tot anys— abans de tornar-se maliciosos mitjançant una simple actualització.

Segons informa The Hacker News, investigadors de seguretat han detectat dos d’aquests complements per a Google Chrome que van canviar el seu comportament després d’haver estat publicats com a eines legítimes. Durant la seva primera etapa, les dues extensions funcionaven com prometien, cosa que els va permetre acumular instal·lacions i passar els controls de la botiga oficial del navegador.

Una és QuickLens – Search Screen with Google Lens, un complement que permetia fer cerques visuals en pantalla mitjançant Google Lens i que va arribar a reunir uns 7.000 usuaris. Després d’un canvi de propietari, l’extensió va rebre al febrer una actualització que en va alterar completament el funcionament. 

Des d’aquell moment es va començar a connectar periòdicament a un servidor extern per descarregar codi JavaScript que s’executava dins del navegador de l’usuari. Aquest script podia modificar pàgines web visitades per la víctima o injectar contingut addicional, cosa que obria la porta a diferents activitats malicioses.

El segon cas detectat correspon a ShotBird – Scrolling Screenshots, Tweet Images & Editor, una extensió amb prop de 800 usuaris que prometia fer captures de pantalla llargues i generar imatges llestes per compartir a xarxes socials. Després de canviar de mans, el complement va començar a mostrar avisos falsos d’actualització del navegador. Si l’usuari feia clic en aquest missatge, era redirigit a una pàgina fraudulenta on se li indicava executar una ordre al sistema per instal·lar una suposada actualització de Chrome.

En realitat, aquest procés descarregava un arxiu maliciós anomenat googleupdate.exe, que acabava instal·lant programari maliciós a l’equip de la víctima. Un cop actiu, el programa podia recopilar informació delicada, com ara dades introduïdes en formularis web, credencials d’accés, números de targeta o informació emmagatzemada al navegador.

Els investigadors creuen que tots dos casos podrien estar relacionats, ja que comparteixen infraestructura i patrons de comportament similars. 

Entenent les extensions

Aquest tipus d’atacs demostra que el risc no sempre és instal·lar una extensió desconeguda des del principi. En alguns casos, eines que semblaven completament fiables es poden transformar en una amenaça temps després. 

Per això, els experts recomanen revisar periòdicament les extensions instal·lades al navegador i eliminar aquelles que ja no s’utilitzin, ja que cada complement actiu amplia la superfície d’atac que poden aprofitar els ciberdelinqüents.