Extensiones de navegador maliciosas para redes sociales …



Al menos 28 complementos de terceros para los principales sitios de redes sociales, incluidos Facebook y Vimeo, redirigen a los usuarios a sitios de phishing y roban datos.

Más de dos docenas de programas maliciosos que se hacen pasar por extensiones de terceros para los principales sitios de redes sociales se han descargado unos 3 millones de veces, redirigiendo subrepticiamente a los usuarios a sitios de phishing, mostrando anuncios y robando datos, informa la firma antivirus Avast.

Los ciberdelincuentes detrás de las 28 extensiones de terceros camuflaron la funcionalidad maliciosa como una variedad de funciones complementarias, como descargadores de movies y aplicaciones de mensajes directos, para sitios de redes sociales, incluidos Fb, Instagram, SoundCloud y Vimeo. Las extensiones están escritas en JavaScript, pueden filtrar información sobre el usuario y pueden descargar y ejecutar código malicioso adicional, afirmó Avast en un informe publicado hoy.

La compañía no encontró evidencia de que las extensiones se usen como un puente hacia las redes corporativas, pero los atacantes pueden tener la capacidad de descargar e inyectar JavaScript arbitrario en cualquier pestaña, dice Jan Rubín, investigador de malware de Avast.

«Esto podría usarse para recopilar credenciales y otros datos corporativos confidenciales de los sitios net visitados por la víctima», dice. «Estamos preparando una publicación de site técnica con más información técnica e IoC, pero por ahora, podemos compartir los … dominios maliciosos».

los extensiones maliciosas son el último intento de los ciberdelincuentes de ocultar código en complementos para navegadores populares. En febrero, el investigador independiente Jamila Kaya y Duo Stability anunciaron que habían descubrió más de 500 extensiones de Chrome que infectó los navegadores de millones de usuarios para robar datos. En junio, Awake Security informó que más de 70 extensiones en la tienda net de Google Chrome estaban descargado más de 32 millones de veces y que recopilaron datos de navegación y credenciales para sitios world wide web internos.

En su última investigación, Avast descubrió que las extensiones de terceros recopilan información sobre los usuarios cada vez que hacen clic en un enlace, ofreciendo a los atacantes la opción de enviar a los usuarios a una URL controlada por el atacante antes de reenviarlos a sus destinos. Las extensiones también recopilan las fechas de nacimiento de los usuarios, las direcciones de correo electrónico e información sobre el sistema nearby, incluido el nombre del dispositivo, su sistema operativo y las direcciones IP.

Los ciberataques detrás de las extensiones parecen estar enfocados en generar tarifas de afiliados y dinero publicitario, dijo Avast.

«Nuestra hipótesis es que las extensiones se crearon deliberadamente con el malware integrado o el autor esperó a que las extensiones se hicieran populares y luego impulsó una actualización que contenía el malware», dice Rubín.

Los ataques se notaron por primera vez el mes pasado, pero si las extensiones se publicaron originalmente sin la funcionalidad maliciosa, podrían haber pasado desapercibidas fácilmente, dijo Avast. Las extensiones se anunciaban como complementos para varios servicios de redes sociales, con nombres como Movie Downloader para Fb, Vimeo Movie Downloader e Instagram Story Downloader. Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta que cualquier software program de seguridad lo descubra, dice Rubín.

Una característica interesante de las extensiones maliciosas es que detectan si el usuario está buscando información sobre uno de sus dominios. Si es así, no ejecutará ningún código malicioso. Además, las extensiones intentan determinar si el usuario puede ser un analista o un desarrollador, dice.

«Si el malware se ejecuta en un navegador con muchas extensiones para desarrollo net instaladas, se desactiva para disminuir las posibilidades de ser detectado», dice Rubín, y agrega que comprueba si el usuario está accediendo a sitios world-wide-web alojados localmente o tiene herramientas de desarrollo. instalado.

Las extensiones maliciosas se dirigen principalmente a usuarios de Ucrania, pero Avast también ha detectado una gran cantidad de descargas en Brasil, Argentina y España.

Tanto Google como Microsoft han sido notificados y están investigando los problemas, dijo la compañía en un comunicado.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Technology Evaluation, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original