Las extensiones maliciosas para navegadores siguen dando frutos a los hackers, que las usan para propagar programas malware bancarios y adware, así como para adulterar complementos populares con el fin de distribuir otros códigos maliciosos.
El más reciente de estos casos involucra una extensión de Chrome propagada mediante mensajes de correo phishing, que puede robar todos los datos que las víctimas introduzcan en páginas web. Se trata de una secuela de ataques previos que vigilan la actividad del navegador en espera de determinadas URLs y roban las credenciales de las víctimas.
Según Renato Marinho, jefe de investigaciones de Morphus Labs y miembro del Sans Internet Storm Center (SANS ISC), esta campaña parece limitarse a Brasil y otros países lusoparlantes. Marinho comentó a Threatpost que el hecho de que el mensaje phishing esté en portugués y que contenga algunas características asociadas con los equipos infectados, como los nombres de directorios, le lleva a la conclusión de que el programa malicioso usado en estos ataques provino de Brasil.
“El análisis de los mensajes recibidos en la trampa antispam nos permite afirmar que la campaña está en curso y posiblemente cobrando muchas víctimas”, añadió.
“Los mensajes de correo, continuó, utilizan como carnada sugerentes fotos de un evento de fin de semana enviadas por WhatsApp: “Segue as (Fotos Final de Semana) Enviadas via WhatsApp (30244)”. Si la víctima activa el enlace, se ejecuta un descargador malicioso, whatsapp.exe, camuflado como un falso instalador de Adobe Reader que descarga e instala un archivo .cab en el equipo de la víctima. Este archivo .cab es un archivo comprimido de 9,5 MB que al descomprimirse libera un par de archivos de más de 200 MB”, explicó el investigador en un informe para el sitio de SANS ISC. “La mayor parte del código, prosigue, se ha inflado para evitar los detectores antimalware, que no analizan los archivos grandes”.
Uno de estos archivos tiene como objetivo desactivar el cortafuegos de Windows y suspender los procesos de Chrome antes de proceder con la instalación de la extensión maliciosa del navegador, escrita en JavaScript.
La extensión captura todos los datos que la víctima introduce en sitios web, señaló Marinho, para luego enviarlos a un servidor de control y comando mediante las conexiones jQuery y Ajax.
Marinho explicó que los navegadores cuentan con medidas de seguridad como SLL o TLS, pero que resultan insuficientes para proteger a las víctimas, ya que los datos se capturan en texto simple dentro del navegador, antes de enviarlos mediante la conexión HTTPS.
“Esa es otra razón por la que los ciberpiratas aplican esta estrategia”, agregó.
Asimismo, el investigador afirmó que prevé que los ciberpiratas sigan utilizando extensiones maliciosas para acceder a los datos personales o confidenciales de las víctimas.
“Los atacantes no necesitaron atraer a las víctimas hacia un sitio falso con dudosos certificados SSL, ni recurrir a proxys locales para interceptar las conexiones web. Todo lo contrario, el usuario se encuentra en sitios originales y legítimos y toda la interacción se realiza de forma regular, pero sus datos son capturados y robados”, subrayó Marinho. “En mi opinión, los navegadores web deberían tener un mejor control sobre los procesos de instalación de extensiones y complementos, de la misma manera en que lo hacen los ecosistemas móviles Android e IOS. Por defecto, sólo deberían aceptar la instalación de las extensiones ofrecidas en las tiendas oficiales”, concluyó.
Fuente: Threatpost
Extensión maliciosa de Chrome roba datos en sitios web