Ampliar / A la izquierda, una extensión legítima de Chrome. A la derecha, una de las siete extensiones de Chrome maliciosas descubiertas recientemente haciéndose pasar por él.
Los delincuentes infectaron más de 100,000 computadoras con el navegador extensiones que robaron credenciales de inicio de sesión, extraídas subrepticiamente criptomonedas y comprometido en fraude de clics. El malicioso Las extensiones se alojaron en la Chrome Web Store oficial de Google.
La estafa estuvo activa desde al menos marzo con siete maliciosos extensiones conocidas hasta ahora, investigadores de la firma de seguridad Radware informó el jueves. El equipo de seguridad de Google eliminó cinco de los extensiones por sí solo y eliminó dos más después de que Radware informó ellos. En total, los complementos maliciosos infectaron a más de 100,000 usuarios, al menos uno de los cuales estaba dentro de una “red bien protegida” de una empresa mundial de fabricación sin nombre, dijo Radware.
Otras lecturas
Después de los ataques de phishing, las extensiones de Chrome empujan el adware a millones En los últimos ocho meses, extensiones maliciosas de Chrome han demostrado ser el talón de Aquiles para el Internet más ampliamente navegador usado y posiblemente el más seguro. En agosto pasado, reglas laxas para asegurar cuentas de desarrollador de extensiones llevó al compromiso de dos extensiones instaladas en millones de computadoras. En dos separados incidentes en enero, los investigadores encontraron al menos cinco maliciosos Extensiones instaladas más de 500,000 veces. Hace dos semanas, tendencia Micro documentó el regreso de FacexWorm, una extensión maliciosa eso fue visto por primera vez siete meses antes.
Otras lecturas
Extensiones de Google Chrome con 500,000 descargas encontradas MalyGoogle logra detectar y eliminar de forma proactiva muchos extensiones maliciosas, como lo demuestra Radware al encontrar que cinco de las siete extensiones que descubrió ya no estaban disponibles en Chrome Web Store. Pero los atacantes de éxito regulares disfrutan de todo pero garantiza que la erupción de extensiones malas continuará.
“A medida que este malware se propaga, el grupo continuará intentando identificar nuevas formas de utilizar los activos robados, “Radware los investigadores Adi Raff y Yuval Shapira escribieron el jueves, refiriéndose a los delincuentes detrás del último lote de extensiones. “Tal los grupos crean continuamente nuevo malware y mutaciones para evitar controles de seguridad “.
Una portavoz de Google dijo que los empleados de la compañía eliminaron el extensiones de Chrome Web Store y los usuarios infectados navegadores a las pocas horas de recibir el informe.
Las extensiones fueron enviadas a enlaces enviados a través de Facebook eso llevó a las personas a una página falsa de YouTube que pedía una extensión Para ser instalado. Una vez instaladas, las extensiones ejecutaron JavaScript eso hizo que las computadoras formaran parte de una botnet. La botnet robó Facebook y credenciales de Instagram y detalles recopilados de la víctima Cuenta de Facebook. La botnet luego utilizó esa información robada para enviar enlaces a amigos de la persona infectada. Esos enlaces empujados las mismas extensiones maliciosas Si alguno de esos amigos siguiera el enlace, todo el proceso de infección comenzó de nuevo.
La botnet también instaló mineros de criptomonedas que extrajeron Monedas digitales monero, bytecoin y electroneum. En los últimos seis días, los atacantes parecían generar alrededor de $ 1,000 en digital moneda, principalmente en monero. Para evitar que los usuarios eliminen extensiones maliciosas, los atacantes cerraron automáticamente pestaña de extensiones cada vez que se abrió e incluyó en la lista negra una variedad de herramientas de seguridad proporcionadas por Facebook y Google.
Las siete extensiones se hicieron pasar por extensiones legítimas. Su los nombres fueron:
- Nigelificar
- PwnerLike
- Alt J
- Caso de reparación
- Divinity 2 Original Sin: Popup de Habilidad Wiki
- Mantener privado
- iHabno
La publicación de blog Radware del jueves incluye ID de extensión para cada uno.
Las extensiones llamaron la atención de los investigadores de Radware a través de algoritmos de aprendizaje automático que analizaron la comunicación registros de la red protegida que fue infectada. El Radware Los investigadores dijeron que creen que el grupo detrás de las extensiones tiene Nunca se ha detectado antes. Dado el éxito regular en conseguir extensiones maliciosas alojadas en Chrome Web Store, no sería sorprendente si el grupo ataca de nuevo.