Los usuarios de Google Chrome están siendo blanco de una ola de ataques mediante extensiones maliciosas alojadas en la tienda virtual oficial de Chrome. Los ataques parecen provenir de Turquía y se propagan mediante Facebook. Usuarios de varias nacionalidades se han visto infectados con estas extensiones maliciosas que los ciberdelincuentes envían regularmente a la tienda virtual oficial, como en el juego del gato y el ratón.
Como ya informamos en marzo de 2012, los ciberdelincuentes brasileños lograron en aquel entonces alojar una extensión maliciosa para Chrome en la tienda virtual oficial de Chrome. En junio de 2012, Google cambió la forma en que los usuarios de Chrome añaden extensiones de terceras partes, es decir, prohibiendo la instalación de extensiones que no se encuentren en la tienda virtual oficial. Más recientemente, Google eliminó la posibilidad de hacer instalaciones silenciosas, muy abusadas por terceras partes.
Quizás por estas razones los ciberpiratas decidieron concentrar sus esfuerzos en subir sus extensiones maliciosas a la tienda virtual oficial de Google. Ahora es el turno de los ciberpiratas turcos que han logrado alojar varias extensiones en esta tienda en estos últimos días.
En uno de los ataques que monitoreábamos, algunos perfiles de usuarios infectados en Facebook comenzaron a propagar este mensaje que contiene algunos nombres de contactos de la víctima y un enlace:
Perfil propagando un enlace a la página .tk
Hemos recopilado varios enlaces dirigidos a la página .tk:
1 2 3 4 5 |
http://www.facebookhiledunyasix.tk http://facebookdayi.tk/ http://superhilemerkezi.tk/ http://facebooklikerr.tk/ http://facebooksuperhile.tk/ |
Estos enlaces conducen a la página escrita en turco, y que ofrece una supuesta actualización para Google Chrome:
“Debes actualizar tu Google Chrome”
La página también instruye al usuario cómo instalar una extensión…
… llamada “Chrome Guncellemesi” o “Chrome Update”. En otros ataques se usó el nombre “Flash Player 12.1”; todos los casos se encontraban alojados en la tienda virtual oficial:
Tras verificar las autorizaciones requeridas, la extensión solicita acceder a todos los datos del usuario en todos los sitios web, manipular sus configuraciones, cookies, extensiones, etc.:
“Solicito tu permiso para hacer todo lo que quiero en tu navegador”
Si se trata de usuarios de Firefox, no se verán libres del ataque, pues también existe una versión para ellos:
“Instalar una extensión para Firefox”
Tras instalarse en el equipo del usuario, la extensión realiza varias acciones maliciosas: pulsa el botón “Me gusta” en varios perfiles de usuarios y páginas de compañías, como parte de un esquema de venta de “Me gusta”. También puede controlar por completo el perfil de un usuario de Facebook, recopilar cookies, escribir en el muro, etc.
Nosotros informamos a Google sobre todas las extensiones maliciosas que detectamos y ellos las eliminan enseguida, pero los ciberpiratas no cesan de cargar más y más extensiones maliciosas.
Detectamos las extensiones maliciosas como Trojan.JS.Agent.bzv y todas las URLs maliciosas están bloqueadas. Si eres usuarios de Google Chrome, tienes que estar atento: evita instalar extensiones desconocidas, incluso si aparecen en la tienda virtual oficial de Chrome.
Extensiones maliciosas para Chrome: el juego del gato y el ratón