La extensión falsa de Chrome ‘Internet Download Manager’ tiene 200.000 instalaciones

0
3
chrome

La extensión de Google Chrome ‘Internet Download Manager’ instalada por más de 200.000 usuarios es un adware.

La extensión ha estado en Chrome Web Store desde al menos junio de 2019, según las primeras reseñas publicadas por los usuarios.

Aunque la extensión puede instalar un programa administrador de descargas conocido y legítimo, BleepingComputer observó un comportamiento no deseado exhibido por la extensión, como abrir enlaces a sitios de spam, cambiar el motor de búsqueda predeterminado del navegador y acosar aún más al usuario con ventanas emergentes que le piden que descargue. más “parches” y programas no deseados.

Extensión Dodgy Chrome instalada por más de 200.000 usuarios

Un lector de BleepingComputer preocupado se acercó a nosotros al ver un complemento de Chrome que “ejecutaba sitios maliciosos haciéndose pasar por software famoso”.

Y su preocupación parece válida. La extensión del navegador ‘Internet Download Manager’ instalada por más de 200.000 usuarios hasta la fecha no parece tan inocente.

Administrador de descargas de Internet de extensiones de Chrome
Extensión de Chrome Internet Download Manager en vivo en Chrome Web Store (BleepingComputer)

Existe un programa legítimo de Windows llamado Internet Download Manager, publicado por la empresa de software Tonec.

Tonec ofrece extensiones de Internet Download Manager para Firefox y Chrome. Pero, la extensión auténtica de Chrome provista por la compañía se llama ‘Módulo de integración IDM’.

Además, las preguntas frecuentes de Tonec advierten específicamente: “Tenga en cuenta que todas las extensiones IDM que se pueden encontrar en Google Store son falsas y no deben usarse”.

Por el contrario, la extensión de Chrome falsificada ‘Internet Download Manager’ parece ser mantenida por un sitio web llamado “Puupnewsapp” que afirma que “aumenta la velocidad de descarga hasta en un 500 %”, lo que la convierte en un “supersoftware” para descargar juegos, películas y música. y “archivos grandes en minutos”. Suena prometedor.

Las instrucciones proporcionadas por la extensión de imitación son aún más desconcertantes: ¿por qué es necesario descargar e instalar varios programas después de instalar la extensión?

instrucciones de instalación
Los pasos de instalación para la extensión solicitan a los usuarios que instalen más programas (BleepingComputer)

Específicamente, al instalar ‘Administrador de descargas de Internet’, ahora se les pide a los usuarios que instalen un ejecutable desde el puupnewsapp sitio web y, además, descargue un archivo ZIP “parche de Windows”:

hxxps://www.puupnewsapp[.]com/idman638build25.exe
hxxps://www.puupnewsapp[.]com/windows.zip

El ejecutable ‘idman638build25.exe’ parece ser una versión válida y firmada del legítimo Tonec Internet Download Manager.

El archivo ‘windows.zip’ analizado por BleepingComputer contiene versiones de NodeJS de 32 y 64 bits y ejecuta código JavaScript para ajustar la configuración de registro de Chrome y Firefox.

Archivo NodeJS haciendo cambios en el registro
Archivo NodeJS que realiza cambios en el registro para Firefox y Chrome (BleepingComputer)

Altera los motores de búsqueda, promueve el spam

Lo que también nos llamó la atención fue que la instalación de la extensión en un entorno de prueba cambió el motor de búsqueda predeterminado del navegador a inteligentewebfinder[.]com.

También se observaron ventanas emergentes frecuentes que instaban al usuario a instalar más complementos, como para Firefox, al igual que la extensión que iniciaba sitios de terceros en el navegador.

motor de búsqueda cambiado
Motor de búsqueda predeterminado cambiado por extensión (BleepingComputer)

Afortunadamente, los revisores, algunos desde 2019, parecen haber detectado el comportamiento dudoso. Aunque muchos revisores (probablemente no auténticos) afirman no tener problemas con la extensión.

críticas negativas
Múltiples revisiones mencionan la extensión “spam” (BleepingComputer)

Los lectores de BleepingComputer informaron problemas con extensiones maliciosas similares que encontraron en Chrome Web Store.

Los detalles de la extensión falsificada son los siguientes:

ID de extensión: lcdlanlaneooailnebnhamiiieebikid

Hash .crx (SHA-256): b4b47730b62592c21368c2546e578342fff8383693e89211155c2d61d88058ba

URL de la tienda web: hxxps://chrome.google[.]com/webstore/detail/internet-download-manager/lcdlanlaneooailnebnhamiiieebikid?hl=en

BleepingComputer contactó a Tonec para hacer comentarios, y también notificamos a Google sobre la extensión maliciosa antes de la publicación.

“Esta es una extensión falsa y debe evitarse. Además, puede contener spyware y adware”, dijo un portavoz de Tonec a BleepingComputer, refiriéndose al ‘Administrador de descargas de Internet’ falsificado.

“Lo reportamos a Google, pero vuelve a aparecer en poco tiempo”.

Tonec también instó a los usuarios a descargar la extensión IDM Integration Module antes mencionada que tiene 20 millones de descargas en Chrome.

Una búsqueda rápida en Chrome Web Store de “IDM”, “complementos de integración de IDM” o “Administrador de descargas” arrojará resultados que contienen extensiones con cientos de miles de instalaciones de usuarios y reseñas favorables que pueden parecer prometedoras.

Si bien no todas estas extensiones pueden ser dañinas, los usuarios deben tener cuidado al instalar nuevas extensiones de Chrome y verificar si se trata de versiones oficiales publicadas por proveedores de software confiables.

Actualización, 26 de agosto de 2022 a las 08:55 a. m. ET: Declaración agregada de Tonec recibida después de la publicación.

LEAVE A REPLY

Please enter your comment!
Please enter your name here