A principios de mayo, la empresa Radware detectó una amenaza zero-day que utilizaba algoritmos de machine learning para infectar a los usuarios a través de la instalación de extensiones maliciosas en el navegador de Google Chrome. Estas extensiones eran utilizadas por los ciberdelincuentes para el robo de credenciales, datos y para la minería de criptomonedas.
Según reportó la empresa, el grupo detrás de esta campaña está activo desde marzo (como mínimo) y la propagación del malware (denominado Nigelthorn por la compañía de seguridad) se está llevando a cabo a través de enlaces en Facebook como parte de una estrategias de ingeniería social. Se calcula que hasta el momento hay al menos 100.000 usuarios infectados a lo largo de todo el mundo, de los cuales el 75% son de Venezuela, Ecuador y Filipinas. El 25% de las infecciones restantes ocurrieron en otros 97 países.
Acerca del proceso de infección mediante extensiones en Chrome
El malware redirige a la víctima hacia una falsa página de YouTube y solicita al usuario la instalación de una extensión de Chrome para poder ver el video. Una vez que la víctima la instala, la extensión ejecuta un código malicioso en JavaScript que asocia la máquina a la botnet. Según los investigadores, esta metodología fue implementada en al menos siete extensiones distintas. Asimismo, aseguran que los responsables detrás de esta campaña utilizan copias de extensiones legítimas de Chrome a las que inyectan un breve script malicioso para anular los sistemas de validación de extensiones que utiliza Google.
Cuáles son las extensiones maliciosas
Es importante destacar que las extensiones que se detallan a continuación ya fueron bloqueadas por los algoritmos de seguridad de Google. A continuación, las extensiones que fueron detectadas.
- PwnerLike
- Alt-j
- Fix-case
- Divinity 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
Capacidades del Malware: robo de credenciales, recopilar información e instalación de mineros
El nuevo malware detrás de esta campaña se enfoca principalmente en: el robo de las credenciales de acceso de Facebook y las cookies de Instagram, y recopilar información de las cuentas de Facebook. La información robada es posteriormente utilizada para el envío de enlaces maliciosos a los amigos de la víctima con el fin de seguir propagando la infección.
Asimismo, el malware descarga un plugin para el navegador que funciona como herramienta para la minería de criptomonedas. De esta manera, los sistemas infectados comiencen a minar criptomonedas como Monero, Bytecoin o Electroneum. Cabe destacar que estos códigos maliciosos son detectados por ESET como JS/CoinMiner.AS o WASM/CoinMiner.D, con lo cual quienes tengan una solución de seguridad de ESET tendrán sus dispositivos protegidos de estos mineros.
Dificultad para eliminar la extensión
Quienes hayan sido infectados con este malware descubrirán que quien intente eliminar la extensión no la tendrán del todo sencillo, ya que cada vez que el usuario abre la pestaña con la extensión, la misma se cierra de forma automática en un intento de evitar la remoción.
Si bien las extensiones ya fueron removidas, como siempre decimos en WeLiveSecurity, es importante que los usuarios estén alertas antes de pinchar en cualquier enlace o ejecutar una instalación porque un sitio así lo solicita. Más allá de que lo ideal es contar con una solución de seguridad, lo más importante es aprender a navegar de manera consciente.