Alrededor de 1,31 millones de usuarios intentaron instalar extensiones de navegador web maliciosas o no deseadas al menos una vez, según los nuevos hallazgos de la empresa de ciberseguridad Kaspersky.
"Desde enero de 2020 hasta junio de 2022, más de 4,3 millones de usuarios únicos fueron atacados por adware escondido en extensiones del navegador, lo que supone aproximadamente el 70% de todos los usuarios afectados por complementos maliciosos y no deseados", señala la compañía.
Hasta 1.311.557 usuarios entran en esta categoría en el primer semestre de 2022, según los datos de telemetría de Kaspersky. En comparación, el número de este tipo de usuarios alcanzó un máximo en 2020 con 3.660.236, seguido de 1.823.263 usuarios únicos en 2021.
La amenaza más frecuente es una familia de adware llamada WebSearch, que se hace pasar por visores de PDF y otras utilidades y viene con capacidades para recoger y analizar las consultas de búsqueda y redirigir a los usuarios a enlaces afiliados.
WebSearch también destaca por modificar la página de inicio del navegador, que contiene un motor de búsqueda y una serie de enlaces a fuentes de terceros como AliExpress que, cuando la víctima hace clic, ayudan a los desarrolladores de la extensión a ganar dinero a través de enlaces de afiliados.
"Además, la extensión modifica el motor de búsqueda por defecto del navegador a search.myway[.]com, que puede capturar las consultas del usuario, recogerlas y analizarlas", señaló Kaspersky. "Dependiendo de lo que el usuario haya buscado, los sitios asociados más relevantes se promocionarán activamente en los resultados de búsqueda".
Un segundo conjunto de extensiones implica una amenaza llamada AddScript que oculta su funcionalidad maliciosa bajo la apariencia de descargadores de vídeo. Aunque los complementos ofrecen las funciones anunciadas, también están diseñados para contactar con un servidor remoto para recuperar y ejecutar un fragmento de código JavaScript arbitrario.
Se dice que más de un millón de usuarios han encontrado adware sólo en el primer semestre de 2022, con WebSearch y AddScript dirigidos a 876.924 y 156.698 usuarios únicos.
También se encontraron casos de malware de robo de información como FB Stealer, cuyo objetivo es robar las credenciales de inicio de sesión de Facebook y las cookies de sesión de los usuarios conectados. FB Stealer ha sido responsable de 3.077 intentos de infección únicos en el primer semestre de 2022.
El malware se dirige principalmente a los usuarios que buscan software crackeado en los motores de búsqueda, con FB Stealer entregado a través de un troyano llamado NullMixer, que se propaga a través de instaladores crackeados para software como SolarWinds Broadband Engineers Edition.
"FB Stealer es instalado por el malware y no por el usuario", dijeron los investigadores. "Una vez añadido al navegador, imita a la inofensiva y de aspecto estándar extensión de Chrome Google Translate".
Estos ataques también tienen una motivación económica. Los operadores del malware, tras hacerse con las cookies de autenticación, acceden a la cuenta de Facebook del objetivo y la secuestran cambiando la contraseña, bloqueando así a la víctima. Los atacantes pueden entonces abusar del acceso para pedir dinero a los amigos de la víctima.
Los hallazgos se producen poco más de un mes después de que Zimperiumm revelara una familia de malware llamada ABCsoup que se hace pasar por una extensión de Google Translate como parte de una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox.
Para mantener el navegador web libre de infecciones, se recomienda que los usuarios se ciñan a fuentes de confianza para la descarga de software, revisen los permisos de las extensiones y revisen y desinstalen periódicamente los complementos que "ya no utilicen o que no reconozcan".