Ciberatacantes toman el control de una extensión de Chrome para propagar spam

Cibercriminales han comprometido la cuenta de Chrome de un desarrollador de extensiones y aprovecharon el control sobre ella para propagar spam y adware mediante una versión modificada de su extensión más popular.

La extensión Copyfish para Chrome tiene más de 30.000 descargas, lo que no la convierte en la aplicación más usada en Chrome, pero no por eso deja de ser de interés para los cibercriminales: sigue siendo una cifra grande que representa un vasto público potencial para ataques virtuales masivos.

Los cibercriminales comenzaron el ataque utilizando la ingeniería social: con un correo electrónico fraudulento que se hacía pasar por un mensaje de Google y urgía al desarrollador de Copyfish a iniciar sesión en la página de asistencia al cliente de Google. El mensaje proveía el link necesario, pero dirigía a una copia del sitio oficial de Google que estaba bajo el control de los atacantes.

“Su ítem de Google Chrome ‘Copyfish Free OCR Software’ (…) no cumple con los estándares para nuestros productos y será eliminado de nuestra tienda web de Chrome a no ser que solucione el problema”, decía el mensaje falso de Google.

El vínculo era un enlace corto de Bit.ly, pero el desarrollador no se dio cuenta de esta irregularidad porque estaba viendo el mensaje en modo HTML. Al iniciar sesión en la página fraudulenta, el desarrollador compartió su nombre de usuario y contraseña con los delincuentes, que después utilizaron estos datos para ingresar en la cuenta de la víctima, cambiar la contraseña para bloquearle el acceso y subir una versión actualizada de Copyfish, la versión V2.8.5, que había sido diseñada para bombardear a sus usuarios con spam y mensajes publicitarios.

Un usuario de HackerNews que se dio a conocer como UNPKG, detuvo la amenaza pocas horas después de que se hiciera pública. Los demás usuarios del foro que comentaron en la publicación informaron que no era la primera vez que ocurría un ataque similar, que hace poco había ocurrido lo mismo con la extensión Social Fixer de Chrome.

Por lo pronto no se conoce quién es el responsable de este ataque, pero se sabe que se originó desde una Macbook en San Petersburgo, Rusia. Mientras tanto, Google sigue en proceso de devolverle el control de la cuenta a su usuario original.

Los fraudes publicitarios y clickjacking son problemas comunes, pero es difícil estimar su magnitud porque muchas veces los usuarios los ignoran o no los denuncian. Los usuarios más inexpertos pueden pensar que el bombardeo de publicidad viene de la mano de la experiencia de navegación en Internet y hasta llegan a acostumbrarse a las ventanas emergentes y videos que se abren sin permiso. Una protección antivirus constante y actualizada, además de mantener los sistemas siempre al día en sus parches, ayuda a evitar este tipo de amenazas. Por otra parte, pensar dos veces antes de pulsar en un enlace recibido por correo electrónico también puede ayudar a los usuarios a evitar ser blanco de ataques phishing que comprometan sus cuentas.

Fuentes

Our Copyfish extension was stolen and adware-infested Bleeping Computer

Hackers Hijacked A Chrome Extension And Forced Ads On Over 30,000 Users Forbes

Phishers steal Chrome extension from developer Help Net Security