Campañas de malwares en navegadores web

18/12/2020

Un equipo de investigadores de seguridad advierte sobre un malware oculto en al menos 28 extensiones basadas en Javascript, infectando a miles de dispositivos. Este malware, con capacidad de ocultarse afecta a los navegadores como Google Chrome, y Microsoft Edge, diseñados para parecerse a complementos de ayuda para Instagram, Facebook, y otras plataformas en línea de alto perfil, mediante extensiones que se instalan automáticamente y alteran los resultados de los motores de búsqueda, siendo la puerta principal de entrada de malware.

Así, cada vez que un usuario hace clic en un enlace, las extensiones envían información sobre el clic al servidor de control del atacante, que opcionalmente puede enviar un comando para redirigir a la víctima desde el objetivo del enlace real a una nueva URL secuestrada antes de redirigirla posteriormente al sitio web real que quería visitar.

Además, pueden también extraer y recopilar las fechas de nacimiento, las direcciones de correo electrónico y la información del dispositivo del usuario víctima, incluida la hora del primer y último inicio de sesión, el nombre del dispositivo, el sistema operativo, el navegador utilizado y su versión, incluso las direcciones IP (que podrían ser utilizados para encontrar el historial de ubicación geográfica aproximada del usuario).

Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta que cualquier software de seguridad lo descubra.

Los investigadores creen que el objetivo principal de esta campaña es secuestrar el tráfico de usuarios para obtener ganancias monetarias que por cada redireccionamiento a un dominio de terceros, los ciberdelincuentes recibirán un pago. No obstante, la extensión también tiene la capacidad de redirigir el tráfico del usuario a anuncios o sitios de phishing y robar datos personales de las víctimas, credenciales de inicio de sesión de plataformas en línea populares, como Facebook, Instagram, Spotify, Vimeo y otros. Además, es capaz de desactivar las actualizaciones del navegador y alterar el funcionamiento de los controles de seguridad para no ser detectado. Sus creadores emplean cerca de 160 dominios propios, algunos de los cuales incluyen hasta 250.000 direcciones web únicas con la intención de llegar a tantos usuarios de Internet como sea posible. Tanto Microsoft como Google, anunciaron que están investigando el problema, pero, hasta que se eliminen, los usuarios deben deshabilitar o desinstalar las extensiones y luego buscar infecciones de malware.

La lista completa de extensiones maliciosas de Chrome y Edge encontradas, algunas de ellas aún disponibles para descargar, se puede encontrar a continuación:

Otras campañas de malwares en navegadores

Además, recientemente también otros investigadores han informado acerca de una campaña de malware persistente que ha estado distribuyendo activamente un malware de navegadores.

Este malware, de una familia de modificadores de navegadores, denominado Adrozek, está diseñado para inyectar anuncios en las páginas de resultados de los motores de búsqueda. La amenaza afecta a varios navegadores (Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox), exponiendo la intención de los atacantes de llegar a tantos usuarios de Internet como sea posible.

Si no se detecta y bloquea, Adrozek agrega extensiones de navegador, modifica una DLL específica por navegador de destino y cambia la configuración del navegador para insertar anuncios adicionales no autorizados en páginas web. El efecto deseado es que los usuarios, que buscan determinadas palabras clave, hagan clic inadvertidamente en estos anuncios insertados con malware, que conducen a páginas afiliadas. Los atacantes ganan a través de programas de publicidad afiliados, que pagan por la cantidad de tráfico referido a las páginas afiliadas patrocinadas.

Además, el malware mantiene la persistencia y filtra las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales.

La siguiente imagen describe la cadena de ataque de Adrozek:

Distribución: el malware Adrozek se instala a través de la ténica drive-by download (descarga involuntaria de software desde internet).
Instalación: Adrozek usa un nombre de archivo único que sigue este formato: setup_ _ .exe. Cuando se ejecuta, el instalador coloca un archivo .exe con un nombre de archivo aleatorio en la carpeta %temp%. Este archivo coloca la carga útil principal en la carpeta Archivos de programa con un nombre de archivo que lo hace parecer un software legítimo.
Modificación de los componentes del navegar: una vez instalado, Adrozek realiza varios cambios en la configuración y los componentes del navegador. Estos cambios permiten que el malware inyecte anuncios en las páginas de resultados de los motores de búsqueda.
- Extensión: el malware crea una nueva carpeta con un ID de extensión idéntico a los IDs legitimos utilizados por cada tipo de navegador y almacena componentes maliciosos en esta carpeta. A pesar de apuntar a diferentes extensiones en cada navegador, el malware agrega los mismos scripts maliciosos a estas extensiones. Estos scripts maliciosos se conectan al servidor del atacante para buscar scripts adicionales, que son responsables de inyectar anuncios en los resultados de búsqueda. El malware también envía información sobre el dispositivo a dicho servidor remoto.
- DLL del navegador: manipula ciertas DLL del navegador, con varios fines, por ejemplo, para desactivar los controles de seguridad que son cruciales para detectar cualquier cambio en el archivo de preferencias seguras.
- Configuración del navegador: Adrozek deshabilita la verificación de integridad, y procede a modificar las configuraciones de seguridad, que incluye la deshabilitación de actualizaciones.
Presistencia: Adrozek también cambia varias configuraciones del sistema para tener aún más control del dispositivo comprometido. Para mantener la persistencia, el malware crea un servicio denominado “Main Service”.
Inyección de anuncios: Después de manipular varios componentes y configuraciones del navegador, el malware obtiene la capacidad de inyectar anuncios en los resultados de búsqueda de los navegadores afectados. La inyección de anuncios se realiza mediante scripts maliciosos descargados de servidores remotos.
Robo de credenciales: en algunos casos, Adrozek aprovecha al máximo su presencia realizando el robo de credenciales, descargando un archivo .exe adicional con nombre aleatorio, que recopila información del dispositivo y el nombre de usuario actualmente activo y envía esta información al atacante.

Recomendaciones

Comprobar si el navegador tiene alguna de las extensiones listadas más arriba en este artículo. Para ello, escribir en la barra de direcciones «chrome://extensions/» y buscar cualquier coincidencia con alguna de ellas.
En caso de encontrar alguna extensión maliciosa, desinstalar y restablecer por completo el navegador para eliminar cualquier posible cambio o configuración que haya podido realizar.
Instalar software de protección para identificar y detectar comportamientos maliciosos y realizar un análisis para asegurar que la extensión no ha instalado ningún otro tipo de malware que pueda poner en riesgo la seguridad.
Cambiar las contraseñas en línea que utilices.
No descargar software de fuentes no confiables.
No hacer clic en anuncios o enlaces en sitios web sospechosos.
En caso de sospechas de estar infectado con el malware adrozek reinstale sus navegadores.
Configure las opciones de seguridad para descargar e instalar actualizaciones automáticamente, así como ejecutar las últimas versiones del sistema operativo y aplicaciones, y la implementación de las últimas actualizaciones de seguridad.

Referencias

	CERT-PY \| Centro de Respuestas a Incidentes Cibernéticos Ministerio de Tecnologías de la Información y Comunicación (MITIC) Avda. Gral. Santos c/ Concordia \| Telefono: (595 21) 217-9000 República del Paraguay

Versión del Template 1.11