Entonces … Me cansé de navegar por el sitio web de Ikea esta mañana y traté de usar una de sus herramientas de visualización. Recibí un mensaje de error que decía que no estaba ejecutando la última versión de Adobe Flash. Al principio, reacio porque pensé en su problema de seguridad hace un tiempo, seguí pensando «bueno, ya deben haberlo solucionado». Fui a la tienda de Chrome, busqué una extensión de Flash Player y, como un maldito idiota, tomé la primera que vi sin mirar al editor y las pocas reseñas de dicha extensión. Tan pronto como se instaló, abrió una página para una tienda de música de la nada. Fue entonces cuando supe que la cagué …
Inmediatamente eliminé la extensión. Desinstalé Brave esta noche cuando volví a casa, eliminé todas las carpetas de Brave restantes en mi ssd y realicé un análisis completo del sistema con Avast y un análisis de amenazas con Malwarebytes (ambas versiones gratuitas). No salió nada. También he comprobado si hay algún proceso extraño en ejecución (a través del administrador de tareas) y no encontré nada especial. ¿Debería preocuparme y hay algo más que deba hacer?
La extensión en cuestión era Flash Player, ofrecida por flash player … Sí, lo sé, debería haberlo visto …
Gracias, Oberom
Comentarios
- Si hubiera conservado los archivos de extensión reales que instaló, podría examinarse para ver si solo abrió páginas de anuncios o si hizo cosas más nefastas. En cualquier caso, no debería haber podido infectar su computadora.
- Gracias Angel por tu respuesta. ¿Ni siquiera con un keylogger?
- Las extensiones son bastante limitadas en lo que pueden hacer. Sin ninguna vulnerabilidad, no deberían poder afectar nada fuera del navegador.
Respuesta
Supongo que la extensión que instaló fue https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Se llama «Flash Player» y dice que «s» se ofrece b y: reproductor flash «. Revisé la versión 1.1.3. Al instalarlo, abre https://themusic[.]io/
Los permisos solicitados son:
- Lee y cambia todos tus datos en los sitios web que visitas
- Administra tus descargas
La página de música se abre porque al instalarla se abre https://flplayer[.]net/welcome , que redirige allí. Al desinstalarlo, abre https://flplayer[.]net/uninstall que simplemente dice «Lo siento si no satisfacemos sus necesidades» ¡Nos vemos la próxima! «
Otra página interesante es http://flplayer[.]net/config.php , de la cual obtiene un montón de opciones de configuración . Esto incluye un valor llamado analyticsId («UA-117750115-1»), que parece un identificador de Google Analytics (parece sin usar), y un mixpanelId (58410f8ab299e0eb2b736f6e233eda37) que se usa si se estableció extendedAnalytics.
Otra característica extraña que tiene es que al renderizar el cuadro de inserción, si el protocolo es https, da las URL a través de la página https://greatapptst[.]com/redirect.php?url=<url>
(que representa cualquier cosa)
Como el el navegador en sí mismo media lo que puede hacer la extensión, no creo que se haya escapado para instalar un programa del sistema (no, tampoco un keylogger). A lo sumo, podría haber publicado alguna información sobre su navegador y páginas. Especialmente sobre el páginas que visitaste después de la instalación g it. Pero aparentemente lo desinstalaste de inmediato, así que incluso en ese caso no hay mucho que pueda haber cosechado. Si lo hubieras hecho,
Comentarios
- Gracias por tu tiempo Angel. Supongo que ' estoy despejado. Debería tener más cuidado en el futuro.