Google intenta por todos los medios evitar que se cuele malware o software con propósitos ilegítimos en sus tiendas, sin embargo, abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store.

ICEBRG detectó hace unos días cuatro extensiones maliciosas en la Chrome Store que han infectado a alrededor de medio millón de computadoras, entre las cuales hay estaciones de trabajo pertenecientes a organizaciones tan importantes Google, el Equipo de Respuesta Rápida a Emergencias Informáticas de Estados Unidos (US-CERT) y el Centro Nacional de Ciberseguridad de Países Bajos (NCSC-NL). Las extensiones maliciosas son las siguientes:

  • Change HTTP Request Header
  • Lite Bookmarks
  • Nyoogle – Custom Logo for Google
  • Stickies – Chrome’s Post-it Notes

Tras ser publicado el informe de ICEBRG, Google reaccionó rápidamente para eliminar las extensiones de la Chrome Store. Aquí es importante recordar que el gigante del buscador eliminó hace tiempo la posibilidad de instalar extensiones procedentes de terceros en su navegador web, por lo que las posibilidades de que más usuarios acaben infectados por esos malware se reducen drásticamente.

Las extensiones fueron utilizadas para llevar a cabo fraudes y manipulaciones en el SEO, a lo cual se suma la posibilidad de obtener acceso a redes corporativas e información de los usuarios. Para su descubrimiento, los investigadores de ICEBRG llevaron a cabo una investigación relacionada con un brusco incremento en el tráfico de red saliente entre un proveedor de hosting europeo y la estación de trabajo de un cliente.

Las extensiones combinaban dos características diferentes que permitían a los atacantes ejecutar un JavaScript malicioso siempre que un servidor de actualización recibiera una solicitud para recuperar un código JSON que era recibido de una fuente externa. El script malicioso crea un túnel de WebSocket utilizando change-request.info y luego la extensión pasa el tráfico por un proxy mediante Google Chrome.

En lo que se refiere a la navegación web, la víctima verá publicidad que la tentará hacer clic para picar en el fraude de los cibercriminales. Las extensiones también tenían capacidades para infectar los sitios web internos alojados en las redes privadas de la víctimas, eludiendo las protecciones implementadas.

Una de las dos características encontradas por los investigadores permitían la detención del JavaScript inyectado en caso de iniciarse el depurador de Chrome, siendo esto una técnica antidetección implementada por los cibercriminales. De momento no está claro si solo hay un grupo o varios detrás las extensiones maliciosas.

Diagrama de las extensiones maliciosas halladas en la Chrome Store

Fuente: HackRead

Compartir