Un informe de la empresa de seguridad Radware sugiere que los usuarios de Google Chrome estuvieron expuestos a otra ola de extensiones maliciosas que se les ofreció en la tienda web oficial de Chrome.
Las extensiones se utilizaron para realizar “robo de credenciales, criptografía, fraude de clic, y más” según Radware.
La empresa detectó la familia de nuevos programas maliciosos para Google Chrome con la ayuda de algoritmos de aprendizaje automático que ejecutó en la red de ordenadores de un cliente.
La firma de seguridad ICEBRG identificó otro conjunto de extensiones maliciosas de Chrome a principios de este año, y 2018 fue también el año en que las extensiones con la funcionalidad de reproducción de sesiones aparecieron en la tienda.
Otra oleada de extensiones de Chrome maliciosas detectadas
captura de pantalla de Radware
Según el análisis de Radware, el malware ha estado activo al menos desde marzo de 2018. Ha infectado más de 100.000 dispositivos de usuario en más de 100 países, y ha empujado al menos siete extensiones diferentes de Chrome con contenido malicioso utilizando el siguiente vector de ataque:
- Los atacantes utilizan la publicidad de Facebook para llegar a las víctimas potenciales.
- Los usuarios son redirigidos a páginas falsas de YouTube.
- Se muestra un aviso que les pide que instalen una extensión de Chrome para reproducir el vídeo.
- El clic en “añadir extensión” instala la extensión y hace que el usuario forme parte de la botnet.
- El JavaScript malicioso se ejecuta en la instalación que descarga código adicional de un centro de comando.
Las extensiones que los atacantes usaron eran copias de las populares extensiones de Chrome con código malicioso y ofuscado, añadidas a ellas.
Radware identificó las siguientes extensiones:
- Nigelificar
- PwnerLike
- Alt-j
- Estuche fijo
- Pecado original de Divinity 2: Wiki Skill Popup
- keeprivate
- iHabno
Puedes revisar el blog de la compañía para ver las extensiones y otra información. Google los eliminó todos mientras tanto.
El malware tiene múltiples propósitos:
- Robar los datos de la cuenta de Facebook enviando cookies de inicio de sesión de Facebook o de Instagram al centro de mando.
- Crear un token de la API de Facebook si se ha iniciado sesión en Facebook y robarlo también.
- Difundir el malware a través de Facebook usando la red de amigos del usuario. Esto sucede ya sea como mensajes en el Facebook Messenger o nuevas publicaciones de Facebook que usan etiquetas de nombre de contacto.
- Mina la criptografía usando el navegador del usuario. El malware podía extraer tres monedas diferentes (Monero, Bytecoin y Electroneum).
Los atacantes crearon varias medidas de protección para evitar que los usuarios interfirieran en la operación.
- Monitoreó la página de administración de extensiones de Chrome y la cerró cada vez que el usuario intentó abrirla.
- Impide el acceso a las herramientas de limpieza en Facebook y en Chrome, y trató de evitar que los usuarios editaran o eliminaran las publicaciones o hicieran comentarios.
- Usa el navegador para ver o gustar los videos de YouTube, o para escribir comentarios.
Palabras finales
La identificación del malware ocurrió por accidente. El algoritmo de aprendizaje de máquina de Radware detectó el malware y eso condujo a la identificación de la red y a la eliminación de Google Chrome Store.
Considerando que los atacantes operaron las extensiones ya en marzo de 2018, está claro, una vez más, que el sistema de protección de Google no funciona correctamente.
Los usuarios de Chrome necesitan verificar cualquier extensión antes de pulsar el botón de instalación. Una regla empírica es que nunca se deben instalar extensiones que te pidan que lo hagas fuera de Chrome Web Store, pero como las extensiones maliciosas siempre están alojadas en la tienda, no es una protección al 100% contra ellas.
El problema principal aquí es que la mayoría de los usuarios no pueden verificar si una extensión de Chrome es legítima o no ya que requiere analizar su código.
Esto deja el funcionamiento de Chrome sin extensiones como la única opción para mantenerse a salvo.
Ahora tú : ¿corres las extensiones de Chrome? ¿Las verificas antes de la instalación?