Detectan las primeras extensiones maliciosas para Chrome que usan scripts para reproducir la sesión
Han pasado solo tres meses desde que los investigadores de Princeton advirtieran a los usuarios de los peligros de los «ataques de reproducción de sesión». Los desarrolladores de extensiones maliciosas de Google Chrome han incorporado este «truco» en sus últimos lanzamientos. El término de reproducción de sesión se refiere al código JavaScript que registra la actividad del usuario y luego la reproduce la sesión con detalles exactos.
Extensión maliciosa para Chrome que reproduce la sesión
En los últimos años, las firmas de analítica web han agregado soporte para las características de reproducción de sesión. Esto ha permitido a los propietarios de sitios web analizar cómo los usuarios estaban utilizando su página. Estas son valiosas herramientas de prueba si se usan por razones legítimas.
Ayer vimos la primera extensión que inyecta un script para minar criptomonedas en Mozilla Firefox.
Varias extensiones
En las últimas semanas, varias extensiones maliciosas de Chrome han comenzado a incorporar una biblioteca de JavaScript proporcionada por el proveedor de análisis web Yandex Metrica, que registra las acciones de los usuarios en todos los sitios que navegan.
Aunque Yandex Metrica no registra el texto ingresado en los campos de contraseña, el script aún puede registrar varios tipos de detalles, como nombres, números de tarjetas de crédito, números de CVV, direcciones de correo electrónico y números de teléfono.
Sin duda se trata de datos más que significativos de los usuarios. Pueden afectar enormemente a la privacidad.
La compañía informa de que ha encontrado 89 de estas extensiones maliciosas de Chrome. En total han sido instaladas más de 423.000 veces.
La firma estadounidense de ciberseguridad ha publicado recientemente una lista con los nombres de 58 extensiones de Chrome.
Creadas por el mismo grupo
Trend Micro cree que estas extensiones fueron creadas por el mismo grupo y rastrea toda la operación como Droidclub.
Estas extensiones tienen una infraestructura de servidor de C & C ya que las secuencias de comandos de grabación y reproducción de la sesión no son el único código malicioso que implementan en los navegadores Chrome de las víctimas.
El objetivo principal de estas extensiones es inyectar publicidad en todas las páginas que un usuario está viendo, generando ganancias para Droidclub.
Las versiones anteriores de estas extensiones también implementaron la secuencia de comandos de cifrado de Coinhive que minaba Monero utilizando las CPU de las personas. Pero la secuencia de comandos de Coinhive se ha eliminado en las versiones más recientes.
Las extensiones son fáciles de detectar y evitar
Todas estas extensiones siguen el mismo patrón. Utilizan nombres aleatorios y descripciones no sensoriales. Según informan desde Bleeping Computer, la mayoría de estas extensiones no duraron más de un día, y el equipo de Chrome las eliminó de la Web Store oficial antes de que pudieran hacer más daño.
Droidclub generalmente utiliza la publicidad maliciosa para dirigir el tráfico a las páginas de destino donde usa ingeniería social para engañar a los usuarios para que instalen estas extensiones maliciosas.
Lo mejor para prevenir esto es utilizar el sentido común. No debemos instalar ninguna extensión que nos parezca sospechosa. Siempre hay que hacerlo de páginas oficiales. Además, lo ideal es contar con programas y herramientas de seguridad. Así podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.