Secuestran extensión para navegadores Copyfish para propagar spam

Según una declaración del distribuidor A9t9 Software publicada el domingo, sólo secuestraron la extensión para Google Chrome. Otras versiones de Copyfish, como la extensión OCR para Firefox, no se vieron afectadas.  En un blog publicado el lunes, la compañía explica que los problemas comenzaron el viernes cuando recibieron un mensaje de correo que parecía ser una advertencia de Google solicitando al desarrollador que actualizara su aplicación Copyfish o en caso contrario se la retiraría de la tienda virtual de Google. La nota decía:

“Su ítem de Google Chrome, ‘Copyfish Free OCR Software’, con ID: (eliminado), no cumple con nuestras políticas de programas y se retirará de Google Chrome Web Store a menos que solucione el problema. Por favor ingrese a su cuenta de desarrollador (enlace eliminado) para más información”.

Entonces, un desprevenido miembro del equipo activó un enlace, tras lo cual apareció un cuadro de diálogo de contraseñas “Google”. “El desafortunado miembro del equipo introdujo la contraseña de nuestra cuenta de desarrollador”, afirma la declaración de la compañía A9t9 Software.

Como resultado, el sábado se actualizó automáticamente la extensión Copyfish para Google Chrome con una versión fraudulenta del programa (v.c.8.5) en de una cantidad no determinada de navegadores. Al día siguiente, los desarrolladores de Copyfish se dieron cuenta de que la nueva versión de la extensión estaba insertando anuncios y spam en sitios web.

“Nos dimos cuenta del efecto nosotros mismos, ya que, por supuesto, ejecutamos Copyfish en nuestros equipos. Pero tardamos en percatarnos que en realidad era nuestra propia extensión la que originaba los diálogos adware”, afirma la compañía en su declaración.

Después, la situación empeoró, añade la compañía.

“Ingresamos en nuestra cuenta de desarrollador y ¡sorpresa! nuestra extensión Copyfish había desaparecido. Al parecer los hackers/ladrones/idiotas la movieron a SU cuenta de desarrollador. ¡Ahora no podemos acceder a ella!”, sentenció la compañía.

Según A9t9, han perdido el control de la extensión para Google Chrome e incluso han perdido la capacidad de desactivarla en los navegadores Chrome afectados. “Hasta ahora, la actualización se parece a un hackeo corriente de adware, pero, ya que seguimos sin el control de Copyfish, los ladrones pueden volver a actualizar la extensión antes de que la recuperemos. Ni siquiera podemos desactivarla, puesto que ya no figura en nuestra cuenta de desarrollador”.

El lunes, un usuario de Copyfish publicó en HackerNews que notó que los hackers que controlan Copyfish estaban usando UNPKG.com y Node Package Manager para distribuir la extensión adware para Chrome.

“Me puse en contacto con ambos servicios para que la eliminen, con la esperanza de que al menos la neutralicen temporalmente”, escribió el buen cibersamaritano en el sitio HackerOne.

Esta acción logró detener momentáneamente el adware, según los desarrolladores de Copyfish. “El problema es que todavía no hemos retomado el control de Copyfish, por lo que es posible que los ladrones actualicen la extensión otra vez”, afirmó.

La compañía señaló que está trabajando con el soporte para desarrolladores de Google para coordinar una solución. No se dispone de más información.

En retrospectiva, A9t9 Software dijo que había pequeños pero importantes indicios que debían haber puesto sobre aviso a cualquier desarrollador de que algo sospechoso estaba pasando. Para los principiantes, el mensaje de correo del Soporte técnico de Google que inicialmente solicitaba a A9t9 Software que actualizara su aplicación Copyfish llevó al ingeniero a visitar una versión gratuita de Freshdesk, una plataforma web personalizada de soporte.

“Recuerdo haber pensado ‘¿Así que Google usa Freshdesk? Qué interesante…'”, remarcaba el autor del blog de A9t9 Software sobre la extensión pirateada.

Otro indicio que pasaron por alto fue que el mensaje de correo phishing empleaba un enlace Bitly que no era visible inmediatamente para el destinatario del mensaje porque estaba en HTML. “Esta es otra lección aprendida: Volvamos al mensaje de correo estándar de texto como predeterminado”, añadía la compañía en su publicación.

Fuente: Threatpost