Google elimina suite de extensiones en Chrome que secuestraban cuentas de Facebook


"Contenido Viral Edad Verify" y otros retirado de Web Store


Maxime Kjaer, de 19 años de edad, estudiante de Dinamarca, ha descubierto un conjunto de extensiones para Google Chrome que estaban secuestrando las cuentas de Facebook, pero además eran capaces de muchas más acciones maliciosas.

Los ladrones estaban distribuyendo estas extensiones a través de mensajes de Facebook sobre todo tipo de contenido viral sentimental y lasciva. Los usuarios que han hecho clic en los enlaces dentro de esas publicaciones de Facebook llegaban a un sitio que les pedía verificar su edad.

A diferencia de otros sitios que permitían a los usuarios introducir su edad en una forma, estos le solicitaban la instalación de varias extensiones para Chrome.

"Las extensiones se alojan en el Google Chrome Web Store"

Todas estas extensiones tenían un nombre similar, usaban las palabras "viral", "edad" y "verificar", y eran aceptados en la Chrome Web Store de Google, la cual ayudaba a los usuarios a disipar cualquier duda que tenían sobre la legitimidad de la extensión.

Kjaer, que rompió el código que se encuentra dentro de una de estas extensiones, explicó que solicitaba permisos intrusivos, tales como la capacidad de "leer y modificar todos los datos de los sitios web que visita," dandole un control completo de los sitios visitados de un usuario .

La extensión misma contenía sólo tres archivos, que Kjaer afirmó se ejecutaban en modo persistente. Esto significa que no se podían detener y se ejecutaban cuando el navegador se iniciaba hasta que el usuario lo cerrará.


"No hubo un proceso de verificación de edad, a las operaciones maliciosas"

El primer archivo de estas extensiones era el sript background.js, que hacia el proceso de verificación de la edad. Kjaer dice que no había ningún proceso de verificación de "menos de 18", y que el código fuente que se encuentra dentro de este archivo sólo inicia un temporizador aleatorio después que el usuario escribe su fecha de nacimiento y, a continuación, mostraba "Cargando ..." durante el temporizador y enviaba "¡Hecho!" al final del supuesto proceso.

El segundo archivo, query-string.js, sólo era un clon de un módulo NPM del mismo nombre, que era utilizado por el tercer archivo, install.js.

En este tercer archivo era donde se podía encontrar toda la actividad maliciosa. Este script se conectaría a un servidor y descargaba otro script, que lo ejecutaba más tarde.

Esta es una práctica común a través de extensiones maliciosas en Chrome, que, a causa del análisis automatizado de Google cuando se presentan las extensiones a la tienda de Chrome, no puede incluir código malicioso en el origen de la extensión original, por lo que se puede descargar en una etapa posterior.
"Los ladrones utilizaban un servidor C & C para controlar los navegadores infectados"

En el código malicioso analizado por Kjaer, él dice que el script descargado sería capaz de hacer peticiones y recibir instrucciones de un comando y control (C & C) del servidor.

Durante su experimento, el servidor de C & C ordenaba a su navegador acceder a una URL de Facebook que exponía su token de acceso, una clave de programación a su cuenta de Facebook.

Debido al permiso "Leer y cambiar todos los datos de los sitios web que visita" que el usuario ha aceptado en la instalación de la extensión, the crook era capaz de recuperar este token de acceso.

El script descargado informaba de este token de acceso al servidor de C & C, siendo luego capaz de acceder a la cuenta del usuario en su nombre. Tan pronto como su token de acceso fue robado, el servidor de C & C instruyó al navegador del usuario a presentar una página similar de Facebook, Kjaer señaló que nunca había visto antes una similar.

"Las extensiones dieron a los ladrones el control completo del navegador"


Mientras que sólo este ataque se llevó a cabo bajo los ojos vigilantes de Kjaer, el desarrollador dice que el servidor C & C, literalmente, podía ordenar al navegador hacer lo que quiera.

Una pequeña lista de posibles acciones incluye la capacidad de registrar las pulsaciones de teclado de contraseña, suscribirse a canales de YouTube, ejecutar ataques DDoS, minar Bitcoin, leer correos electrónicos, y cualquier otra cosa que pueda hacerse a través del navegador Chrome.

Según los cálculos de Kjaer, 132,265 ordenadores habían instalado las extensiones de Chrome maliciosas.

El investigador informó de las direcciones IP utilizadas para descargar la carga útil script maliciosa y los servidores de C & C a Ocean Digital, compañía que era sede de los servidores.

También informó a Google, para que elimine las extensiones en la Chrome Web Store y lo agregue luego en la lista negra, lo que significa que se desinstalaran automáticamente de todos los navegadores infectados.



Fuente: Softpedia