AmpliarICEBRG
Los investigadores han descubierto cuatro extensiones maliciosas con más de 500,000 descargas combinadas de Google Chrome Web Store, un encontrar eso destaca una debilidad clave en lo que se considera ampliamente ser el navegador más seguro de Internet. Google ha eliminado desde entonces Las extensiones.
Investigadores de la firma de seguridad ICEBRG encontraron el hallazgo después detectar un pico sospechoso en el tráfico de red saliente desde una estación de trabajo del cliente. Pronto descubrieron que se generó por una extensión de Chrome llamada Encabezado de solicitud HTTP, ya que utilizaba el máquina infectada para visitar subrepticiamente Web relacionada con publicidad Enlaces. Más tarde, los investigadores descubrieron otros tres Chrome. extensiones (Nyoogle, Stickies y Lite Bookmarks) que hicieron mucho la misma cosa. ICEBRG sospecha que las extensiones fueron parte de un estafa de fraude de clics que generó ingresos por recompensas por clic. Pero los investigadores advirtieron que los complementos maliciosos podrían fácilmente se han utilizado para espiar a las personas u organizaciones que Los instalé.
“En este caso, la confianza inherente de Google de terceros extensiones y riesgo aceptado de control del usuario sobre estos extensiones, permitieron que una campaña de fraude expansiva tuviera éxito, “ICEBRG Los investigadores escribieron en un informe publicado el viernes. “En manos de un actor de amenazas sofisticado, la misma herramienta y técnica podría tener habilitó una cabeza de playa en las redes objetivo “.
Google eliminó las extensiones de su Chrome Web Store después de ICEBRG informó en privado sus hallazgos. ICEBRG también alertó al Centro Nacional de Seguridad Cibernética de los Países Bajos y el CERT de EE. UU. En su informe público, ICEBRG continuó explicando cómo el malicioso extensiones trabajadas:
Por diseño, el motor JavaScript de Chrome evalúa (ejecuta) Código JavaScript contenido en JSON. Debido a preocupaciones de seguridad, Chrome impide la capacidad de recuperar JSON de un externo fuente por extensiones, que debe solicitar explícitamente su uso a través de Política de seguridad de contenido (CSP). Cuando una extensión habilita el permiso ‘inseguro-eval’ (Figura 3) para realizar tales acciones, puede recuperar y procesar JSON desde un servidor controlado externamente. Esto crea un escenario en el que el autor de la extensión podría inyectar y ejecutar código JavaScript arbitrario en cualquier momento el servidor de actualización recibe una solicitud
La extensión Cambiar encabezado de solicitud HTTP descarga JSON a través de un función llamada ‘update_presets ()’ que descarga un blob JSON de ‘información de solicitud de cambio [.]’
Esta no es la primera vez que las extensiones de Chrome han sido abusado A finales de julio y principios de agosto, atacantes desconocidos comprometió las cuentas de al menos dos extensiones de Chrome desarrolladores Los delincuentes luego utilizaron su acceso no autorizado a instale automáticamente actualizaciones de extensiones que inyectaron anuncios en el sitios visitados por los usuarios. Más tarde en agosto, Renato Marinho, quien es el director de investigación de Morphus Labs y voluntario en SANS Instituto, descubrió una elaborada estafa de fraude bancario que utilizaba un extensión maliciosa en Chrome Web Store de Google para robar objetivos ” contraseñas
Chrome es ampliamente considerado como uno de los más seguros de Internet. navegadores, en gran parte debido a la rápida disponibilidad de parches de seguridad y la efectividad de su sandbox de seguridad, lo que evita que el contenido no confiable interactúe con partes clave de El sistema operativo subyacente. Socavando que la seguridad es la amenaza planteada por extensiones maliciosas. La gente debe evitar instalarlos a menos que las extensiones proporcionen un verdadero beneficio, y entonces solo después de una cuidadosa investigación sobre el desarrollador o análisis de El código de extensión y el comportamiento.
