Estas cinco extensiones han saltado las alarmas por el funcionamiento que tienen y también que hayan tenido en global 1,4 millones de descargas. De manera global tienen como misión monitorear la actividad que tienen los usuarios al navegar por internet y modificar sus cookies para agregar un enlace de referencia.
-¿Cómo funcionan estas extensiones?
Es sabido por todos que cualquier persona profesional puede tener una comisión por comprar en sitios webs como Amazon si se sigue un enlace de afiliado. Es por ello que los atacantes usan estas extensiones para introducir su afiliado automáticamente en estos enlaces de Amazon o de otras tiendas para generar rendimiento económico. La investigación ha determinado que las extensiones afectadas son 5, y han tenido unas descargar globales de 1,4 millones. La lista es la siguiente:
- Netflix Party – 800.000 descargas
- Netflix Party 2 – 300.000 descargas
- Full Page Screenshot Capture ? Screenshotting – 200.000 descargas
- FlipShope ? Price Tracker Extension – 80 000 descargas
- AutoBuy Flash Sales – 20 000 descargas
En este caso todas las extensiones tienen un funcionamiento similar. Al instalarlo en Chrome se carga un script multifuncional que va enviando todos los datos de navegación a un dominio controlado por el atacante. En esta información se incluye la URL que se está visitando, el ID de usuario y también la ubicación.
Si la URL de este sitio web coincide con alguna de los sitios web que tienen afiliados, el servidor va a responder insertando la URL con el afiliado del atacante, y también podrá modificar las cookies. Sin duda esto es algo que no busca bloquear el navegador o ralentizarlo, sino sacar rendimiento económico a tus visitas a Amazon, Ebay o cualquier otra tienda que ofrezca afiliados.
En el siguiente vídeo McAfee ha querido mostrar con mucho más detalle el funcionamiento de estas extensiones.
Obviamente, les interesa siempre pasar completamente desapercibidos, y es por ello que los desarrolladores establecen un tiempo de retraso para comenzar operar. Este es de 15 días y será a partir de aquí cuando se comience con la actividad de enviar todos los datos de navegación y la suplantación de la URL. Ante esto, la recomendación que se da siempre es evitar la descarga de extensiones si no son desarrolladores conocidos.