Investigación

Extensiones maliciosas para Chrome: el juego del gato y el ratón

Los usuarios de Google Chrome están siendo blanco de una ola de ataques mediante extensiones maliciosas alojadas en la tienda virtual oficial de Chrome. Los ataques parecen provenir de Turquía y se propagan mediante Facebook. Usuarios de varias nacionalidades se han visto infectados con estas extensiones maliciosas que los ciberdelincuentes envían regularmente a la tienda virtual oficial, como en el juego del gato y el ratón.

Como ya informamos en marzo de 2012, los ciberdelincuentes brasileños lograron en aquel entonces alojar una extensión maliciosa para Chrome en la tienda virtual oficial de Chrome. En junio de 2012, Google cambió la forma en que los usuarios de Chrome añaden extensiones de terceras partes, es decir, prohibiendo la instalación de extensiones que no se encuentren en la tienda virtual oficial. Más recientemente, Google eliminó la posibilidad de hacer instalaciones silenciosas, muy abusadas por terceras partes.

Quizás por estas razones los ciberpiratas decidieron concentrar sus esfuerzos en subir sus extensiones maliciosas a la tienda virtual oficial de Google. Ahora es el turno de los ciberpiratas turcos que han logrado alojar varias extensiones en esta tienda en estos últimos días.
En uno de los ataques que monitoreábamos, algunos perfiles de usuarios infectados en Facebook comenzaron a propagar este mensaje que contiene algunos nombres de contactos de la víctima y un enlace:

Perfil propagando un enlace a la página .tk

Hemos recopilado varios enlaces dirigidos a la página .tk:

Estos enlaces conducen a la página escrita en turco, y que ofrece una supuesta actualización para Google Chrome:

“Debes actualizar tu Google Chrome”

La página también instruye al usuario cómo instalar una extensión…

… llamada “Chrome Guncellemesi” o “Chrome Update”. En otros ataques se usó el nombre “Flash Player 12.1”; todos los casos se encontraban alojados en la tienda virtual oficial:

Tras verificar las autorizaciones requeridas, la extensión solicita acceder a todos los datos del usuario en todos los sitios web, manipular sus configuraciones, cookies, extensiones, etc.:

“Solicito tu permiso para hacer todo lo que quiero en tu navegador”

Si se trata de usuarios de Firefox, no se verán libres del ataque, pues también existe una versión para ellos:

“Instalar una extensión para Firefox”

Tras instalarse en el equipo del usuario, la extensión realiza varias acciones maliciosas: pulsa el botón “Me gusta” en varios perfiles de usuarios y páginas de compañías, como parte de un esquema de venta de “Me gusta”. También puede controlar por completo el perfil de un usuario de Facebook, recopilar cookies, escribir en el muro, etc.

Nosotros informamos a Google sobre todas las extensiones maliciosas que detectamos y ellos las eliminan enseguida, pero los ciberpiratas no cesan de cargar más y más extensiones maliciosas.

Detectamos las extensiones maliciosas como Trojan.JS.Agent.bzv y todas las URLs maliciosas están bloqueadas. Si eres usuarios de Google Chrome, tienes que estar atento: evita instalar extensiones desconocidas, incluso si aparecen en la tienda virtual oficial de Chrome.

Extensiones maliciosas para Chrome: el juego del gato y el ratón

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada