Las extensiones de los navegadores se han convertido en uno de los vectores de ataque preferidos por los hackers. Los motivos son evidentes ahora. Son piezas de software que residen en nuestro navegador, y por lo tanto no es sospechoso que tengan acceso a toda nuestra navegación; pero sobre todo, la seguridad que las rodea no es tan dura como con otros programas.

No solo los usuarios están acostumbrados a instalar extensiones de cualquier sitio; incluso las tiendas oficiales han alojado malware, como es el caso de la Chrome Web Store y los casos de extensiones que cambiaron de propietario. Ahora volvemos a encontrarnos con un caso de extensión que oculta malware.

Un atacante consigue lanzar una versión modificada de la extensión de MEGA

Se trata de la extensión oficial de MEGA, uno de los sitios de descarga directa más populares. El sucesor de Megaupload ya no está asociado con su creador original, Kim Dotcom; pero sigue siendo una de las principales alternativas del sector, especialmente entre los piratas.

La compañía ahora ha anunciado que el pasado 4 de septiembre un atacante consiguió subir una versión modificada de la extensión de MEGA a la Chrome Web Store. Por lo tanto, inicialmente sólo los usuarios de Chrome se verían afectados; la versión modificada lleva el número de versión 3.39.4.

mega 2

No importa si ya teníamos instalada la extensión; ya que Chrome siempre actualiza automáticamente las extensiones con la última versión.  El consuelo es que la extensión modificada pedía todo tipo de permisos nuevos; y la política de Chrome es siempre preguntar primero al usuario si una extensión pide más permisos, desactivándola mientras tanto.

Por lo tanto, si Chrome te preguntó si querías actualizar la extensión de MEGA, avisándote de que pedía nuevos permisos, y te negaste o no respondiste, deberías estar a salvo.

Qué hacer si instalaste la extensión de MEGA hackeada

Si aceptaste, deberías empezar por eliminar la extensión de MEGA, y a continuación a cambiar las contraseñas de los sitios que visitaste en este periodo de tiempo.

Esta extensión fue modificada para robar datos de inicio de sesión en algunas de las webs más usadas. Desde la propia cuenta de Google a las cuentas de Amazon, Github o Live.com, la extensión fue capaz de robar las credenciales; además, también buscó llaves de cifrado de monederos para criptomonedas. Un atacante podría usarlas para transferir el dinero virtual a sus monederos.

Aunque no es necesaria ninguna extensión para usar MEGA, la compañía ofrece una opción oficial para mejorar la experiencia. El atacante se aprovechó de eso, consiguiendo acceso a la cuenta oficial de MEGA en la Chrome Web Store; la compañía aún no sabe cómo la cuenta fue comprometida de esta manera, pero ha empezado criticando a Google. Afirma que Google ya no permite a los desarrolladores firmar las extensiones, ya que ahora se firman automáticamente al subirlas a la tienda.

Por el momento, la extensión de MEGA ha sido retirada de la tienda por Google, pero tardó unas cinco horas; un tiempo en el que mucha gente se ha podido instalar o actualizar la extensión.

Noticias relacionadas