Microsoft ha descubierto una extensión maliciosa de Chrome que pretende ser el motor de búsqueda de inteligencia artificial Perplexity y registra silenciosamente sus búsquedas. Cada consulta y cada carácter escrito en la barra de direcciones se enrutaba a través de un servidor controlado por el atacante antes de redirigir al usuario a los resultados reales.
Microsoft dijo que eliminó el producto de su tienda después de que Google hiciera revelaciones responsables. La extensión se llama «Buscar perplexity ai» (ID flkebkiofojicogddingbdmcmkpbplcd) y se pasa al servicio real en perplexity.ai utilizando el dominio similar perplexity-ai(.)en línea.
El equipo de investigación de Microsoft Defender dice que el objetivo era interceptar búsquedas y recopilar datos. No encontramos evidencia de robo de contraseñas, pero el número de accesos al cuadro de búsqueda superó con creces lo requerido.
Una vez instalada, la extensión se establece como el motor de búsqueda predeterminado del navegador. Cuando se busca, la consulta se envía primero a perplexity-ai(.)en línea, donde el servidor del atacante registra la consulta junto con los encabezados del navegador, la dirección IP y el agente de usuario.
Los resultados parecían normales porque las reglas luego los rebotaban en el motor de búsqueda real (Perplexity, Google o Bing). El robo se produjo en la primera parada antes del desvío.
La barra de direcciones empeoró aún más la situación. La extensión también dirigió las sugerencias de búsqueda en vivo del navegador (suggest_url) al dominio del mismo atacante. Por lo tanto, antes de presionar la tecla Enter, la entrada se envió al servidor del atacante. Esto incluye todos los caracteres que escribe, no sólo las búsquedas completadas.
Chrome permite anulaciones de proveedores de búsqueda y las extensiones legítimas las utilizan. La reescritura y redirección del tráfico es una parte que no tiene nada que ver con el cuadro de búsqueda. Incluye código del lado del servidor que solicita la familia de permisos declarativeNetRequest para hacer precisamente eso y registra todas las solicitudes. Microsoft sostiene que esta recopilación no es un efecto secundario de la redirección, sino una prueba de que se realizó intencionalmente.
La extensión también viene con reglas de redireccionamiento deshabilitadas para Google y Bing, por lo que también puedes activar la misma configuración para esos motores. También dejó espacio para ejecutar código WebAssembly más tarde, algo que no era necesario hacer con una simple herramienta de búsqueda.
Esto se aplica a la serie constante de extensiones maliciosas que se esconden detrás de las marcas de inteligencia artificial. Algunos reemplazan su motor de búsqueda predeterminado y recuperan lo que escribe. Algunos secuestran proveedores de búsqueda y leen los chats de ChatGPT y DeepSeek. La propia investigación de Microsoft ha vinculado la ola de chat skimming con aproximadamente 900.000 instalaciones en más de 20.000 redes corporativas.
La diferencia aquí es el objetivo. No es un chat de IA, sino tus búsquedas y los caracteres que escribes en la barra de direcciones, recopilados a través de las propias extensiones de Chrome.
Si tiene instalado «Buscar perplejidad ai», elimínelo y asegúrese de que su motor de búsqueda predeterminado no haya cambiado. Microsoft sugiere los siguientes conceptos básicos para equipos:
Permita únicamente extensiones que estén aprobadas a través de su navegador o la política de su empresa. Tenga cuidado con los cambios en la configuración de búsqueda, los permisos de extensiones extraños y el tráfico a dominios desconocidos. Sospeche especialmente de las herramientas de marca AI y verifique el editor y el dominio antes de instalarlas.
El operador no fue nombrado y Microsoft no dijo cuántas personas lo instalaron antes de que lo eliminaran. Se ha instalado la marca AI. La recopilación se produjo debido a una anulación de búsqueda.
Source link
