Malas extensiones en Chrome roban contraseñas
A principios de mayo, la empresa Radware detectó una amenaza zero-day que utilizaba algoritmos de machine learning para infectar a los usuarios a través de la instalación de extensiones maliciosas en el navegador de Google Chrome. Estas extensiones eran utilizadas por los ciberdelincuentes para el robo de credenciales, datos y para la minería de criptomonedas.
Según reportó la empresa, el grupo detrás de esta campaña está activo desde marzo (como mínimo) y la propagación del malware (denominado Nigelthorn por la compañía de seguridad) se está llevando a cabo a través de enlaces en Facebook como parte de una estrategia de ingeniería social. Se calcula que hasta el momento hay al menos 100.000 usuarios infectados a lo largo de todo el mundo, de los cuales el 75% son de Venezuela, Ecuador y Filipinas. El 25% de las infecciones restantes ocurrieron en otros 97 países.
Contenido
Acerca del proceso de infección mediante extensiones en Chrome
El malware redirige a la víctima hacia una falsa página de YouTube y solicita al usuario la instalación de una extensión de Chrome para poder ver el video. Una vez que la víctima la instala, la extensión ejecuta un código malicioso en JavaScript que asocia la máquina a la botnet. Según los investigadores, esta metodología fue implementada en al menos siete extensiones distintas. Asimismo, aseguran que los responsables detrás de esta campaña utilizan copias de extensiones legítimas de Chrome a las que inyectan un breve script malicioso para anular los sistemas de validación de extensiones que utiliza Google.
Cuáles son las extensiones maliciosas
Juan Manuel Harán, resalta que es importante que las extensiones que se detallan a continuación ya fueron bloqueadas por los algoritmos de seguridad de Google. A continuación, las extensiones que fueron detectadas.
- PwnerLike
- Alt-j
- Fix-case
- Divinity 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
