Ocho extensiones de Chrome secuestrados en los últimos cuatro meses de acuerdo con la nueva evidencia publicada por el investigador Kafeine de Proofpoint
Los atacantes utilizan correos electrónicos de phishing para engañar a los desarrolladores para que entreguen las credenciales de inicio de sesión para sus cuentas de desarrollador de Chrome.Estas son las ocho extensiones de Chrome secuestradas
El investigador de seguridad Kafeine identificó extensiones de Chrome que habían sido secuestrados de la misma manera. Esta es la lista incluye: Copyfish, Web Developer, Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1, Social Fixer 20.1.1, TouchVPN, Betternet VPNSumando las instalaciones totales para los ocho extensiones, los atacantes lograron entregar su código malicioso a cerca de 4,8 millones de usuarios.
Google envió la alerta de correo electrónico hace dos semanas, ya que, en todos los ataques, el phishing fue el primer paso del proceso de secuestro. Este proceso continuó cuando los atacantes se hicieron cargo de repositorio de código fuente de la extensión, añadido un código malicioso, empaquetado de nuevo la extensión, y empujó a cabo una actualización que contiene el código malicioso.Los atacantes se centraron en el reemplazo de anuncios y ventanas emergentes intrusivas
Aunque en un principio, el análisis de este código era áspero alrededor de las esquinas, ahora tenemos más detalles gracias a análisis de Kafeine del código malicioso que se encuentra en algunas de las extensiones secuestrados.De acuerdo con el investigador Proofpoint, el código malicioso añadido a estas extensiones fue especialmente diseñados para llevar a cabo las siguientes operaciones:
- Espera al menos diez minutos después de la instalación / actualización de la extensión
- Recupera un archivo JavaScript desde un dominio generado por el DGA al azar
- Credenciales cosecha Cloudflare desde el navegador del usuario
- Sustituye anuncios en sitios legítimos con los anuncios suministrados por el secuestrador
- La mayoría de las sustituciones tuvieron lugar en portales para adultos y 33 para los tamaños de banner precisas
- Mostrar un mensaje emergente alertar a los usuarios sobre un error y redirigirlos a una nueva página web parte de un programa de redirección del tráfico de afiliados
Los atacantes activos desde al menos de junio de 2016
Todas estas acciones han generado a los atacantes pequeños beneficios. Mientras que los ataques de phishing y el secuestro se llevó a cabo a partir con May 2017, Kafeine ligado parte de la infraestructura utilizada en estas operaciones complejas a una extensión de Chrome maliciosos que fue descubierto para entregar código malicioso a través de scripts de consentimiento cookie de vuelta en de junio de el año 2016.Esto demuestra que los actores detrás de estos ataques están bien versados en el funcionamiento interno de las dos extensiones de Chrome y Chrome Web Store, y lo más probable es que continúe su operación, a pesar de la exposición pública en las últimas semanas.
Si bien no hay pruebas definitivas que une todas estas extensiones de Chrome secuestra a un mismo grupo, esto no puede ser sólo una mera coincidencia, y hay una alta probabilidad de que todos los ataques anteriores se han llevado a cabo por el mismo grupo o individuo.
De acuerdo con Kafeine, lo más preocupante era el hecho de que los ladrones recogieron credenciales Cloudflare, que el investigador cree que podría proporcionar atacantes con nuevos medios e infraestructura para futuros ataques.
Fecha actualización el 2021-8-16. Fecha publicación el 2017-8-16. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer