Tecnologías informáticas

Las extensiones de malware para Chrome infectaron a más de 100.000 usuarios

Los analistas de Radware encontraron siete extensiones maliciosas en el directorio oficial de Chrome Web Store, que se enmascaraban como soluciones legítimas conocidas, pero en realidad secuestraban las credenciales de los usuarios, minimizaban la moneda criptográfica y participaban en una rana de clic.

Según los expertos, en total, las extensiones se instalaron más de 100.000 veces, y en un caso el malware penetró en las computadoras de alguna «red bien protegida» perteneciente a un gran productor no identificado.

Las extensiones peligrosas tienen los siguientes nombres:

  • Nigelify;
  • PwnerLike;
  • Alt-j;
  • Fix-case;
  • Divinity 2 Original Sin: Wiki Skill Popup;
  • Keeprivate;
  • iHabno

Los investigadores escriben que todas las extensiones fueron obra de un grupo de hackers, alojadas en Chrome Web Store al menos desde marzo de 2018 y que se distribuyeron principalmente utilizando ingeniería social y enlaces en Facebook. Dichos enlaces llevaron a las víctimas a una página de YouTube falsa que solicitó la instalación de una extensión.

Flujo de trabajo Después de la instalación, la extensión realizó JavaScript malicioso, convirtiendo la máquina infectada en un nuevo enlace de botnet. La víctima fue secuestrada con credenciales de cuentas de Facebook e Instagram, y luego esta información se usó para difundir aún más el código malicioso entre los amigos de la víctima.

Además, el malware forzó a las computadoras infectadas a extraer criptodivisas Monero, Bytecoin y Electroneum. Según Radware, solo en los últimos seis días los atacantes ganaron alrededor de $ 1000 de esta manera.

Al mismo tiempo, los expertos señalan que Google no se queda de brazos cruzados. Por lo tanto, cuatro de las siete extensiones detectadas fueron vistas y eliminadas del catálogo por los propios especialistas de la compañía, a pesar del uso de ocultación de ocultación y otras técnicas de enmascaramiento. Desafortunadamente, las extensiones Nigelify y PwnerLike todavía están activas.