Utilizan extensiones populares en Google Chrome para reproducir vídeos en secreto en los navegadores de los usuarios e inflar su contador de visualizaciones.
Hace unos días, nuestras soluciones comenzaron a enviar repetidas alertas de seguridad a los usuarios de Google Chrome. La fuente de la amenaza era Trojan.Multi.Preqw.gen, que Chrome intentaba descargar desde un sitio de terceros. Te explicamos de qué se trata y cómo poner fin al problema.
Extensiones maliciosas
Nuestros expertos, en colaboración con sus colegas de Yandex, descubrieron que algunos autores habían abusado de más de veinte extensiones de navegador para que Chrome trabajara para ellos desde los ordenadores de los usuarios. Algunas de las extensiones que se utilizaron para estas actividades maliciosas son bastante populares: Frigate Light, Frigate CDN y SaveFrom.
Estas extensiones, instaladas en los navegadores de más de 8 millones de usuarios, accedían a un servidor remoto en segundo plano con la intención de descargar código malicioso, un proceso que nuestras soluciones de seguridad detectaron como peligroso.
¿Qué querían los atacantes y cómo amenazaban a los usuarios?
Los atacantes estaban interesados en generar tráfico sobre ciertos vídeos. Es decir, las extensiones reproducían en secretos estos vídeos en los navegadores de los usuarios, lo que aumentaba el contador de reproducciones de los sitios de streaming.
El reproductor de vídeo invisible solo se activaba cuando el usuario navegaba, para que el proceso inevitable de ralentización en el ordenador se atribuyera al lag habitual durante la carga en Chrome.
De acuerdo con nuestros colegas de Yandex, los usuarios de algunas de las extensiones sí afirman haber escuchado alguna vez el sonido de los vídeos que se reproducían en segundo plano.
Además de eso, los complementos maliciosos también interceptaban el acceso a una red social, probablemente para inflar este recuento. Independientemente del objetivo, el compromiso de la cuenta de una red social es algo que uno prefiere evitar.
Cómo actuar
Si tu solución de seguridad comienza a detectar amenazas en Google Chrome o cualquier otro navegador de origen Chromium, lo primero que deberás hacer es desactivar las extensiones maliciosas, ya que son la causa de la alerta de la aplicación de seguridad. Si desconoces la identidad del complemento peligroso, prueba a desactivarlos uno por uno hasta que des con el o los correctos.
Yandex, por su parte, ya ha deshabilitado automáticamente varias extensiones de su Yandex.Browser (que también tiene origen Chromium) y sigue en busca de otros complementos que puedan suponer una amenaza.
Si todavía no utilizas productos de Kaspersky, pero sospechas que puede haber alguna aplicación maliciosa en tu ordenador, te recomendamos que instales una de nuestras soluciones para particulares. Aunque, claro está, te recomendamos que lo hagas igualmente.