Extension de Chrome se hacen pasar por extensiones populares para ofrecer anuncios, consultas de búsqueda secuestro o inyectando el minero navegador CoinHive
La extensión que vamos a ver se llama LDI, lo lleva al siguiente nivel cuando se trata de un comportamiento malicioso. Esto se debe a que no sólo carga el minero navegador Coinhive en el navegador de la víctima y utiliza toda la CPU, pero también utiliza Gmail de que la víctima cuenta para registrar dominios gratis para los atacantes que utilizan Freenom.Promoción a través de sitios web scammy
Esta extensión se promueve a través de los sitios que está representada JavaScript avisa que continuamente pedirá que instale la extensión. Aunque este sitio ya no está en línea, cuando la víctima trató de cerrar estas alertas, la página podría abrir automáticamente la página de Chrome Web Store para esta extensión.La página de Chrome Web Store tenía poca o ninguna información y la descripción fue "Se pregunta si su página web es compatible con Mac? Compruébalo con LDI.". Esta extensión ya se ha eliminado de la Chrome Web Store.
Esta extensión se compone de dos archivos JavaScript llamados jarallax.min.js y de arranque-filestyle.min.js.
El sistema de arranque-filestyle.min.js.script, añade una sección de JavaScript ofuscado al final del archivo que se ejecute cada vez que inicia el navegador.
Lo anterior incluye JavaScript otro script ofuscado, que se decodifica y ejecutado. Una vez ejecutado, el guión se conectará a la URL http://fbcdnxy.net/fgelohmmdfimhmkbbicdngnpeoaidjkj/geo-location.json?cache=[timestmap]. Este sitio va a responder con otro script que debe ser ejecutado por la ampliación. Esto permite la extensión de cambiar su funcionalidad cada vez que quiera simplemente la distribución de un guión diferente.
Actualmente, la secuencia de comandos a distancia que se envía de nuevo a ser ejecutado es http://fbcdnxy.net/coobgpohoikkiipiblmjeljniedjpjpf/remote-postal-code.json. Este script es la carne de la extensión y llevará a cabo las diversas actividades maliciosas como cargar Coinhive y registro de dominios a través de su cuenta de Gmail.
Una vez que el navegador se inicia, el script malicioso anterior se ejecuta y comienza la diversión.
En primer lugar, la extensión se conecta a Facebook. Hay una gran cantidad de código dedicado a Facebook, que podría ser para la difusión de la extensión a través de Facebook Messenger.La extensión ahora carga rápidamente Coinhive para que el navegador comienza la minería Moneo para el desarrollador.
Después de eso, comienza el proceso de registro de nombres de dominio utilizando su cuenta de Gmail. En primer lugar se conecta a Freenom.com mediante la publicación de la dirección URL del https://my.freenom.com/includes/domains/fn-available.php y comprobar si un dominio con nombre aleatorio y diversos dominios de primer nivel están disponibles para registrarse.
Una vez que recupera las opciones de dominio disponibles, se añade a cada uno de esos dominios a un carro usando la URL https://my.freenom.com/includes/domains/fn-additional.php
Cuando se realiza la adición de los dominios, se inicia el proceso de pago, pero necesita una dirección de correo electrónico y la información para registrar los dominios bajo. Para obtener la dirección de correo electrónico, se conecta a la URL https://mail.google.com/mail/u/0/h/1pq68r75kdvdr/?v=lui para cambiar conectado a una cuenta de Gmail a Gmail vista HTML.
Esto le permite recuperar la dirección de correo electrónico del usuario conectado. Si un usuario no está conectado a Gmail, a continuación, esta extensión no es capaz de registrar los dominios.
A continuación, se conecta a https://randomuser.me/api/0.4/?randomapi a fin de generar información de registro al azar que se puede utilizar durante el pago y envío.
Ahora que tiene tanto una dirección de correo electrónico y la información de registro al azar, se termina el proceso de pago en Freenom. Con el fin de terminar el proceso de registro, sin embargo, la víctima tiene que confirmar su dirección de correo electrónico. La extensión es inteligente, aunque, como se comprueba la cuenta de Gmail y abre automáticamente el enlace de verificación para usted.
Esto resultará en 4 dominios que se generan para el desarrollador de la extensión, pero registrados en la dirección de Gmail víctimas. Esto se hace cada vez que la extensión se instala en Chrome.
Ahora que los dominios se han registrado envía esta información de vuelta al servidor C2 en http://fbcdnxy.net/.
En este momento no se sabe lo que estos dominios están siendo utilizados para, pero que podría ser fácilmente utilizado para distribuir malware, se extendió aún más la extensión, o para campañas de phishing.
Lo que sea que se utilizan para, con cada víctima registrar 4 dominios para el desarrollador, y algunas extensiones maliciosas que tienen cientos, si no miles, de usuarios, esto rápidamente se suma a un enorme arsenal de dominios para el atacante.
Fecha actualización el 2021-10-13. Fecha publicación el 2017-10-13. Categoría: Chrome. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer