Estos desarrolladores esperaron durante años a que sus extensiones de Chrome y Edge tuvieran millones de descargas para infectarlas con malware

Un navegador web sin extensiones se siente «desnudo», mucho menos útil. La culpa la tiene Google, que hizo que Chrome fuera compatible con ellas en 2009 (aunque no para el público general hasta 2010). Al principio, apenas había 300 disponibles en la Chrome Web Store, pero actualmente se estima que hay más de 100 mil, permitiendo a los usuarios «vitaminarlo» para que sea capaz de realizar todo tipo de cosas.

Las extensiones más populares de Chrome son las relacionadas con la productividad. Las hay que ayudan a revisar la gramática para que los correos electrónicos que envías a tu jefe estén impecables, a gestionar las contraseñas para que no se te olvide nunca ninguna o a bloquear anuncios (a veces, navegar por Internet puede ser complicado con tanta ventana emergente y publicidad que ocupa toda la pantalla).

Algunas de las extensiones más populares de Chrome han sido descargadas por millones de personas. Y como son compatibles con Edge (está basado en Chromium), los usuarios que utilizan el navegador web de Microsoft también pueden utilizarlas. Sin embargo, hay que tener cuidado con ellas, pues aunque en apariencia sean inofensivas, pueden ser altamente peligrosas.

El malware de las extensiones vigilaba todo lo que ocurría en el navegador

Los investigadores de Koi han descubierto un conjunto de extensiones con malware para Chrome y Edge que ha infectado a más de 4 millones de usuarios. Los atacantes tras ellas, a los que Koi llamó ShadyPanda, urdieron un plan a largo plazo: publicaron versiones legítimas y esperaron durante años a que fueran populares para implementarles malware.

Cinco de las extensiones descubiertas cuentan con más de cuatro millones de instalaciones. Esto se debe a que tanto la tienda de Edge como la de Chrome revisan las extensiones al momento del envío, no de manera continuada, por lo que con este método lograron colarse entre las destacadas y cosechar buenas valoraciones de los usuarios, además de obtener la insignia de verificación.

Al estar presentes en tantos equipos, los atacantes pudieron rastrear el comportamiento de muchísimas personas y robarles información confidencial sin que lo supieran durante años. Los investigadores de Koi, mediante un comunicado oficial publicado recientemente, explicaron que los atacantes no utilizaron técnicas de phishing ni ingeniería social, sino que esperaron años para ganarse la confianza de los usuarios.

Kodi sigue rastreando la actividad de ShadyPanda y asegura que dos campañas todavía están activas. Una de ellas incluyó cinco extensiones que infectaron a 300 mil usuarios con una puerta trasera que permitía la ejecución remota de código. Tres de las cinco fueron subidas entre 2018 y 2019, y obtuvieron el estatus de Destacadas y Verificadas. Una de ellas, llamada Clean Master y publicada por Starlab Technology, tiene más de 200 mil instalaciones.

En 2024, cuando se superaron las 300 mil descargas, los atacantes distribuyeron una actualización maliciosa. Si bien ya se han eliminado de las tiendas de los dos navegadores mencionados anteriormente, "la infraestructura para ataques a gran escala sigue desplegada en todos los navegadores infectados", aseguraron los investigadores.

El malware en cuestión permite vigilar completamente lo que sucede en el navegador, y también puede inyectar contenido malicioso en cualquier sitio web, incluidas las conexiones HTTPS. Después, envía todos los datos robados (URL visitadas, identificadores UUID4 persistentes y huellas digitales completas del navegador, entre otros) a servidores controlados por ShadyPanda.

Para evitar ser detectado, el malware dispone de capacidades anti-análisis que le permiten cambiar de comportamiento a uno benigno al abrir las herramientas de desarrollo. Cinco extensiones del mismo editor se lanzaron en Edge alrededor de 2023, y ya cuentan con más de cuatro millones de instalaciones. Hasta hace poco, seguían activas en la tienda del navegador, pero Microsoft ha informado de que ya las ha eliminado todas. Algunas de ellas eran WeTab e Infinity V+.