Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que actúan como complementos de fondos de pantalla en vivo de nueva pestaña que distribuyen una familia de programas potencialmente no deseados (PUP).
Este grupo abarca 38 cuentas de editor independientes de Chrome Web Store y tres backends de marca: tabplugins(.)com, yowgames(.)com y chromewallpaper(.)com. Se ha instalado un total de 105.000 veces. A continuación se muestran los nombres de algunas extensiones.
Neymar – Fondo de pantalla en vivo de fútbol (laafpeklcnlfmjaofbndehkjpnccbhek) Fondo de pantalla en vivo de Satoru Gojo Manga (mnpacdigbockiilmilhbedciadenfdnb) Porsche 911 – Fondo de pantalla en vivo de autos deportivos (Soldado muerto) (iedplnnolciaofkakkjmcojnmklpfikg) Fondo de pantalla en vivo de Satoru Gojo (ipiabbhciknabpoihaakdahgghlelpj) Fondo de pantalla de Hello Kitty HD Nueva pestaña (hijpkhinofkdobfagfbobnnoihmopgkk) Fondo de pantalla de Pusheen Cat HD Nueva pestaña (famchdjojcnakamhkddkpaglnkonkfnl) Fondo de pantalla de Peach & Sesame HD Nueva pestaña (nomekamaoepglinefhenifnbegjhfiai) Spiderman Miles Morales Swing Fondo de pantalla en vivo (jjngbcodoldjmpjpfbhfelaljbdlkekh) Fondo de pantalla en vivo de BMW M3 Neon Night Drive (gfikbhpfjldbbikolkcimfgmejhdkjbe) Fondo de pantalla de BMW (dbiamdajndfmpmmeklcbbnekhkdcakhf) Fondo de pantalla de anime Death Note HD Nueva pestaña (pkdloppfapenphihgbldhjjlfhgnkmcg) Fondo de pantalla en vivo de Sonic Frontier Starfall (imkepemaflommlonnppjobgdpokbfmoj) Tanjiro – Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka) Neymar New Tab Wallpaper (gkbfokaephnaajnmpgiieidpfieamggb) Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm) Choso Wallpaper New Tab (ojeaociifmdciibodcifjjocdlbjjeep) Anime Rain Live Wallpaper (npcghghfkbpgiamoifabankdnmopenni) Minecraft Sakuraike Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh) Sombrero de paja Live Wallpaper Fantasma de Tsushima (lblgjffllphdepifdkfhlihddckhlkll) Agatsuma Zenitsu Live Wallpaper (laeciedchhnmnfhlplcgkfcdbdfgdhn)
«Aunque Chrome Web Store declara que ninguno de sus listados recopila o utiliza datos del usuario, la política de privacidad vinculada reconoce lo contrario. La extensión registra direcciones IP, ISP, clics y referencias, y comparte esos datos con Google AdSense, DoubleClick y socios publicitarios externos», dijo el investigador de Socket Security, Kush Pandya.
Además, el subclúster de extensión identificado define dos URL codificadas dentro del archivo JavaScript (‘js/bg.js’) que se activan durante las operaciones de instalación y desinstalación.
La URL de instalación incluye el parámetro del módulo de seguimiento de Urchin (UTM) «utm_source=google&utm_medium=organic&utm_campaign=tanjima-demon-slayer-live-wallpaper», que permite a la extensión abrir una pestaña durante la instalación para disfrazarse de búsqueda «orgánica». La URL de desinstalación es un contenedor de redireccionamiento google.com/url que disfraza la desinstalación como una actividad de búsqueda genuina de Google.
La búsqueda orgánica para motores de búsqueda como Gook se refiere a listados gratuitos en páginas de resultados de motores de búsqueda (SERP) que se generan mediante algoritmos. Su ubicación se basa en parámetros como relevancia, autoridad y optimización de motores de búsqueda (SEO) y es diferente de los resultados patrocinados.
Socket dijo que la idea detrás de estas extensiones es crear artificialmente esa señal, que esencialmente es fabricar el origen de su propio tráfico.
«Este visitante no fue el que buscó en Google; la extensión abrió la pestaña y la marcó como ‘proviene de la búsqueda orgánica de Google'», dijo la compañía.
«La desinstalación de ping va un paso más allá y envuelve el destino en el formato exacto google.com/url que Google utiliza para los clics en los resultados de búsqueda reales, incluidos los tokens ved y usg firmados, por lo que el resultado parece como si un humano hiciera clic en un resultado de Google».
El archivo JavaScript también proporciona una funcionalidad de hibernación que enumera y elimina todas las bases de datos IndexedDB que puede encontrar cuando se inicia el trabajador del servicio.
La campaña ha sido evaluada como una «actividad de afiliado de fraude de atribución de tráfico y publicidad comercial motivada por dinero», pero sus orígenes exactos aún no están claros. Los indicadores circunstanciales disponibles sugieren que puede haberse originado en Türkiye.
Source link
