18/12/2020
Un equipo de investigadores de seguridad advierte sobre un malware oculto en al menos 28 extensiones basadas en Javascript, infectando a miles de dispositivos. Este malware, con capacidad de ocultarse afecta a los navegadores como Google Chrome, y Microsoft Edge, diseñados para parecerse a complementos de ayuda para Instagram, Facebook, y otras plataformas en línea de alto perfil, mediante extensiones que se instalan automáticamente y alteran los resultados de los motores de búsqueda, siendo la puerta principal de entrada de malware.
Así, cada vez que un usuario hace clic en un enlace, las extensiones envían información sobre el clic al servidor de control del atacante, que opcionalmente puede enviar un comando para redirigir a la víctima desde el objetivo del enlace real a una nueva URL secuestrada antes de redirigirla posteriormente al sitio web real que quería visitar.
Además, pueden también extraer y recopilar las fechas de nacimiento, las direcciones de correo electrónico y la información del dispositivo del usuario víctima, incluida la hora del primer y último inicio de sesión, el nombre del dispositivo, el sistema operativo, el navegador utilizado y su versión, incluso las direcciones IP (que podrían ser utilizados para encontrar el historial de ubicación geográfica aproximada del usuario).
Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta que cualquier software de seguridad lo descubra.
Los investigadores creen que el objetivo principal de esta campaña es secuestrar el tráfico de usuarios para obtener ganancias monetarias que por cada redireccionamiento a un dominio de terceros, los ciberdelincuentes recibirán un pago. No obstante, la extensión también tiene la capacidad de redirigir el tráfico del usuario a anuncios o sitios de phishing y robar datos personales de las víctimas, credenciales de inicio de sesión de plataformas en línea populares, como Facebook, Instagram, Spotify, Vimeo y otros. Además, es capaz de desactivar las actualizaciones del navegador y alterar el funcionamiento de los controles de seguridad para no ser detectado. Sus creadores emplean cerca de 160 dominios propios, algunos de los cuales incluyen hasta 250.000 direcciones web únicas con la intención de llegar a tantos usuarios de Internet como sea posible. Tanto Microsoft como Google, anunciaron que están investigando el problema, pero, hasta que se eliminen, los usuarios deben deshabilitar o desinstalar las extensiones y luego buscar infecciones de malware.
La lista completa de extensiones maliciosas de Chrome y Edge encontradas, algunas de ellas aún disponibles para descargar, se puede encontrar a continuación:
Otras campañas de malwares en navegadores
Además, recientemente también otros investigadores han informado acerca de una campaña de malware persistente que ha estado distribuyendo activamente un malware de navegadores.
Este malware, de una familia de modificadores de navegadores, denominado Adrozek, está diseñado para inyectar anuncios en las páginas de resultados de los motores de búsqueda. La amenaza afecta a varios navegadores (Microsoft Edge, Google Chrome, Yandex Browser y Mozilla Firefox), exponiendo la intención de los atacantes de llegar a tantos usuarios de Internet como sea posible.
Si no se detecta y bloquea, Adrozek agrega extensiones de navegador, modifica una DLL específica por navegador de destino y cambia la configuración del navegador para insertar anuncios adicionales no autorizados en páginas web. El efecto deseado es que los usuarios, que buscan determinadas palabras clave, hagan clic inadvertidamente en estos anuncios insertados con malware, que conducen a páginas afiliadas. Los atacantes ganan a través de programas de publicidad afiliados, que pagan por la cantidad de tráfico referido a las páginas afiliadas patrocinadas.
Además, el malware mantiene la persistencia y filtra las credenciales del sitio web, exponiendo los dispositivos afectados a riesgos adicionales.
La siguiente imagen describe la cadena de ataque de Adrozek:
Recomendaciones
Referencias