Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que actúan como complementos de fondos de pantalla animados en nuevas pestañas para distribuir una familia de programas potencialmente no deseados (PUP).
El clúster abarca 38 cuentas de editor independientes de Chrome Web Store y tres backends de marca: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. Se han instalado colectivamente 105.000 veces. Los nombres de algunas de las extensiones se enumeran a continuación:
- Neymar – Fondo de pantalla animado de fútbol (laafpeklcnlfmjaofbndehkjpnccbhek)
- Satoru Gojo Manga Fondo de pantalla en vivo (mnpacdigbockiilmilhbedciadenfdnb)
- Porsche 911 – Fondo de pantalla en vivo de autos deportivos (trabajador de servicio muerto) (iedplnnolciaofkakkjmcojnmklpfikg)
- Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)
- Hello Kitty Wallpapers HD Nueva pestaña (hijpkhinofkdobfagfbobnnoihmopgkk)
- Pusheen Cat Wallpapers HD Nueva pestaña (famchdjojcnakamhkddkpaglnkonkfnl)
- Peach & Goma Wallpapers HD Nueva pestaña (nomekamioepglinefhenifnbegjhfiai)
- Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)
- BMW M3 Neon Night Drive Fondo de pantalla en vivo (gfikbhpfjldbbikolkcimfgmejhdkjbe)
- Fondos de pantalla de BMW (dbiamdajndfmpmmeklcbbnekhkdcakhf)
- Death Note Anime Wallpapers HD Nueva pestaña (pkdloppfapenphihgbldhjjlfhgnkmcg)
- Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)
- Tanjiro – Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)
- Fondo de pantalla de nueva pestaña de Neymar (gkbfokaephnaajnmpgiieidpfieamggb)
- Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)
- Nueva pestaña de Fondos de pantalla de Choso (ojeaociifmdciibodcifjjocdlbjjeep)
- Anime lluvia fondo de pantalla en vivo (npcghghfkbpgiamoifabankdnmopenni)
- Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)
- Sombrero de Paja Live Wallpaper Fantasma de Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
- Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)
«Cada listado declara en Chrome Web Store que no recopilará ni utilizará datos del usuario, mientras que la política de privacidad vinculada admite lo contrario: que las extensiones registren direcciones IP, ISP, recuentos de clics y referencias y compartan esos datos con Google AdSense, DoubleClick y socios publicitarios externos», dijo el investigador de seguridad de Socket, Kush Pandya. dicho.
Es más, un subgrupo de extensiones identificadas define dos URL codificadas en un archivo JavaScript («js/bg.js») que se activan durante las operaciones de instalación y desinstalación:
- La URL de instalación incluye los parámetros del módulo de seguimiento de Urchin (UTM) «utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper», disfrazando así la extensión que abre una pestaña de instalación como una búsqueda «orgánica».
- La URL de desinstalación es un contenedor de redireccionamiento google.com/url que disfraza la desinstalación como una actividad genuina de la Búsqueda de Google.
La búsqueda orgánica en motores de búsqueda como Gook se refiere a los listados no pagados en una página de resultados de un motor de búsqueda (SERP) generados por algoritmos. Su ubicación se basa en parámetros como relevancia, autoridad y optimización de motores de búsqueda (SEO), y es diferente de los resultados patrocinados.
La idea detrás de estas extensiones, dijo Socket, es crear artificialmente esa señal, lo que esencialmente equivale a fabricar el origen de su propio tráfico.
«La visita no es una persona que buscó en Google; es la extensión que abre una pestaña por sí sola y la marca 'llegó de la búsqueda orgánica de Google'», explicó la compañía.
«El ping de desinstalación va un paso más allá, envolviendo el destino en el formato exacto google.com/url que Google usa para clics en resultados de búsqueda reales, incluidos los tokens ved y usg firmados, por lo que el resultado parece un humano haciendo clic en un resultado de Google».
Los archivos JavaScript también vienen equipados con una capacidad inactiva para enumerar y eliminar cada base de datos IndexedDB que pueda encontrar al iniciar un trabajador de servicio.
Se considera que la campaña es una «operación afiliada de fraude de atribución de tráfico y publicidad comercial con motivación financiera», aunque se desconoce su procedencia exacta. Los indicadores circunstanciales disponibles sugieren que podría tener su origen en Turquía.
