La extensión de Chrome que roba datos

6 Jun 2018
Amenazas

Los propietarios de las tiendas de software (como Google, Apple, Amazon, etc.) tienen que luchar contra el malware tanto como los proveedores de soluciones de seguridad. El proceso no tiene fin: Los ciberdelincuentes escriben malware que se cuela en las tiendas online, luego se identifica, se clasifica, se elimina, la política de seguridad se actualiza para que el incidente no se repita y los ciberdelincuentes idean otra manera para que su creación se cuele pase las nuevas políticas de la tienda.

Siempre recomendamos que instales las aplicaciones desde fuentes oficiales, pero eso no significa que dichos lugares estén libres de malware; tan solo quiere decir que en ellas haya menos que en otras partes. Y aunque Google Play es muy segura, la Chrome Web Store es otro cantar. En ella, nuestros expertos acaban de encontrar una extensión maliciosa que va tras los datos bancarios de los usuarios.

Un troyano bancario en tu navegador

La culpable era una extensión llamada “Desbloquear Conteúdo” (“Desbloquear contenidos” en portugués) que lanzaba un ataque man-in-the-middle. Cuando el usuario visitaba la web de su banco, un script malicioso redireccionaba el tráfico mediante un servidor proxy que pertenecía a los ciberdelincuentes, lo que les permitía analizarla y coger lo que quisieran.

El malware también contenía scripts diseñados para extraer cierta información que los usuarios introducían en la red. Por ejemplo, cuando un usuario visitaba la página de inicio de sesión de un banco, el malware usaba una capa en la pantalla que coincidía a la perfección con la interfaz del banco, pero reemplazaba los campos de usuario, contraseña y código de verificación con los suyos. Cuando el usuario introducía dichos datos, el malware copiaba la información.

El dominio en el que el servidor de mando y control de los delincuentes estaba ubicado empleaba la misma dirección IP que usaban otros dominios ya conocidos como maliciosos, la cual fue una de las razones por las que la trama llamó la atención de nuestros investigadores. Una vez confirmaron sus sospechas, los investigadores contactaron con Google y el malware se eliminó de la Chrome Web Store.

Recuerda que, durante la instalación, las extensiones de Chrome solicitan acceder a permisos que a menudo conceden poderes casi ilimitados sobre tu computadora. Muchos programas maliciosos necesitan tan solo un permiso: “Leer y cambiar toda la información de las páginas web que visitas” (el cual es bastante fuerte).

Así que, ten cuidado con las extensiones, no son necesariamente benignas; aunque sean fáciles de instalar, también lo es dar por hecho que no pueden ser poderosas ni hacer nada malo.

Por qué debes tener cuidado con las extensiones de navegador

Protección contra extensiones maliciosas para navegadores

Estos son algunos consejos que te ayudarán a repeler el malware disfrazado de extensión:

  • Instala solo las extensiones en las que confíes. Por desgracia, no existe un análisis para la confianza, pero al menos utiliza solo las extensiones de desarrolladores conocidos.
  • No añadas extensiones extra si de verdad no las necesitas.
  • Si ya no necesitas una extensión, bórrala. Podrás reinstalarla si la vuelves a necesitar.
  • Utiliza una solución de seguridad probada como Kaspersky Internet Security. Todas las nuevas extensiones nuevas de Chrome se nos envían automáticamente para analizarlas, por lo que ni en las más recientes puede esconderse el malware.