Extension de Chrome maliciosa utilizando la sesion Replay
Tan sólo tres meses después de que los investigadores de Princeton estaban advirtiendo a los usuarios de los peligros de ataques sesión de Replay los desarrolladores de extensiones de Chrome maliciosos han incorporado este truco.
El término "sesión Replay" se refiere al código JavaScript que registra la actividad del usuario y luego lo reproduce en detalle exacto. En los últimos años, las empresas de analítica web han añadido soporte para funciones de "sesión de Replay" en su panel de control, permitiendo a los propietarios de sitios web para analizar cómo los usuarios estaban utilizando su página web. Estos son valiosas herramientas de pruebas A / B si se utiliza por razones legítimas.Durante las últimas semanas, varias extensiones de Chrome maliciosos han comenzado a incorporar una biblioteca JavaScript proporcionado por el proveedor de análisis web de Yandex, Métrica, que registra las acciones del usuario en todos los sitios que navegan.
Mientras Yandex Métrica no registra texto introducido en los campos de contraseña, el guión todavía puede registrar varios tipos de datos, como nombres, números de tarjetas de crédito, números CVV, direcciones de correo electrónico y números de teléfono.
La compañía dice que ha encontrado 89 de estas extensiones de Chrome maliciosos, que tienen una instalación de recuento total de más de 423.000. La firma de seguridad cibernética de Estados Unidos ha publicado una lista con los nombres de 58 extensiones de Chrome.
Extensiones creadas por el mismo grupo -Droidclub
Trend Micro cree que estas extensiones fueron creados por el mismo grupo y hace un seguimiento de toda la operación como Droidclub, después de que el nombre de dominio de uno de los servidores de comando y control(droidclub [.] Neto).
Estas extensiones tienen una infraestructura de servidores C & C porque los scripts de grabación / reproducción de la sesión no son el único código malicioso que se despliegan en los navegadores Chrome de la víctima.
El objetivo principal de estas extensiones es inyectar la publicidad en todas las páginas está viendo un usuario, generando un beneficio para la banda Droidclub.
Las versiones anteriores de estas extensiones también desplegaron el script cryptojacking Coinhive que extrae Monero usando CPUs de la gente, pero el guión Coinhive ha sido eliminado en las versiones más recientes.
Las extensiones son fáciles de detectar y evitar
Todas estas extensiones siguen el mismo patrón, utilizando nombres aleatorios y descripciones sin sentido. A partir de las observaciones de que pita informáticos, la mayoría de estas extensiones no duró más de un día, con el equipo de Chrome retirarlas de la tienda web oficial antes de que pudieran hacer más daño.Droidclub por lo general se basa en la publicidad maliciosa para dirigir el tráfico a las páginas de destino donde se utiliza la ingeniería social para engañar a los usuarios instalar estas extensiones maliciosos. Si ve una página que se parece a la siguiente ... cerrar la cuenta!