Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que funcionan como complementos de fondo de pantalla animado
para nuevas pestañas, distribuyendo una familia de programas potencialmente no
deseados (PUP).
El grupo abarca 38 cuentas de editores distintas en la Chrome Web Store y tres
servidores backend:
tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. En total, se
han instalado 105.000 veces. A continuación se muestran los nombres de algunas
de las extensiones.
«Cada ficha en la Chrome Web Store declara que no recopilará ni utilizará
datos de usuario, mientras que la política de privacidad vinculada admite lo
contrario: que las extensiones registran direcciones IP, proveedores de
servicios de Internet, recuentos de clics y fuentes de referencia, y
comparten esos datos con Google AdSense, DoubleClick y socios publicitarios
externos», dijo Kush Pandya, investigador de seguridad de Socket.
Además, un subgrupo de las extensiones identificadas define dos URL
codificadas en un archivo JavaScript («js/bg.js») que se activan
durante la instalación y desinstalación.
La URL de instalación incluye los parámetros del Módulo de Seguimiento de
Urchin (UTM)
«utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper», lo que hace que la extensión abra una pestaña durante la instalación como
si fuera una búsqueda «orgánica».
La URL de desinstalación es una redirección a google.com/url que simula
la desinstalación como una búsqueda genuina en Google.
La búsqueda orgánica en buscadores como Google se refiere a los resultados no
pagados que aparecen en la página de resultados del motor de búsqueda (SERP),
generados por algoritmos. Su posición se basa en parámetros como la
relevancia, la autoridad y la optimización para motores de búsqueda (SEO), y
es diferente de los resultados patrocinados.
Según Socket, la idea detrás de estas extensiones es crear artificialmente esa
señal, lo que equivale esencialmente a fabricar el origen de su propio
tráfico.
«La visita no proviene de una persona que haya buscado en Google; es la
extensión la que abre una pestaña automáticamente y la etiqueta como
‘procedente de la búsqueda orgánica de Google'», explicó la empresa.
El ping de desinstalación va un paso más allá, envolviendo la dirección en el
formato exacto google.com/url que Google utiliza para los clics en
resultados de búsqueda reales, incluyendo los tokens ved y usg firmados, de
modo que el clic parece el de un usuario.
Los archivos JavaScript también incluyen una capacidad latente para enumerar y
eliminar todas las bases de datos IndexedDB que encuentre al iniciarse un
service worker.
Se considera que la campaña es una operación de afiliados de adware comercial
con fines lucrativos y fraude de atribución de tráfico, aunque se desconoce su
origen exacto. Los indicios disponibles sugieren que podría haberse originado
en Turquía.
Fuente:
THN