Descubren otra extensión para Chrome que se apoyaba en Facebook para implantar mineros

Los mineros maliciosos se han vuelto muy populares en los últimos tiempos, y una de las principales razones es porque permiten a los ciberciminales obtener ingresos utilizando métodos bastante menos agresivos que con el ransomware, quedando como principal objetivo el cómo colárselos a los usuarios para así aprovechar los recursos de su ordenadores.

Los investigadores de TrendMicro han descubierto una extensión maliciosa para Chrome a la que han decidido llamar FacexWorm, que utilizaba una mezcla de diversas técnicas para para ir contra las plataformas de tráfico de criptodivisas que eran accedidas mediante los navegadores afectados y que se propagaba mediante Facebook Messenger. Debido a que desde hace años se requiere que las extensiones para Chrome estén en la tienda oficial, los ciberdelincuentes tienen que superar las barreras impuestas por Google, y una vez detectados, se quedan sin escapatoria debido que al retirarse la extensión de la tienda se quedan sin medio para difundir el malware.

Sin embargo, el malware que nos ocupa no es nuevo, ya que inicialmente fue descubierto en agosto de 2017, aunque su origen no quedó claro. Más tarde, el 8 de abril, se vio que había actuado en países como Alemania, Túnez, Japón, Taiwán, Corea del Sur y España. La variante de FacexWorm descubierta por TrendMicro tenía entre sus capacidades una rutina de listado y era capaz de enviar enlaces de ingeniera social a los amigos de la cuenta de Facebook afectada, algo en lo que imita a Digmine, aunque FacexWorm también podría robar cuentas con sus credenciales, además de redirigir a las víctimas a posibles estafas relacionadas con las criptodivisas, inyectaba código malicioso para minar en páginas web, redirigía al sitio web del atacante para programas de referencia relacionados con las criptodivisas y secuestraba las transacciones en las plataformas de tráfico de criptodivisas y las carteras web para reemplazar la dirección del destinatario por la del atacante.

Siendo más concretos, para propagarse mostraba a la potencial víctima un enlace hacia YouTube. Después de hacer clic sobre este, se le pedía que instalase un nuevo códec para reproducir el vídeo, que es en realidad FacexWorm. Luego el malware se dedicaba a descargar código malicioso adicional de su servidor de mando y control y abría el sitio web de Facebook. En caso de detectar la sesión iniciada en la red social, se volvía a comunicar con su servidor de mando y control para activar la función de propagación mediante Facebook Messenger. Para llevar a cabo esta operación, FacexWorm pedía acceso al token OAuth para realizar una serie de peticiones a la red social que le permitiesen enviar falsos enlaces a YouTube a los amigos del usuario infectado, en caso de detectar que Chrome para el escritorio no estaba instalado, el enlace malicioso se desviaba a un anuncio aleatorio.

Entre las actividades maliciosas llevadas a cabo por FacexWorm nos encontramos que robaba cuentas de usuario de Google, MyMonero y Coinhive; llevaba a cabo estafas relacionadas con las criptodivisas, abarcando 52 diferentes, aunque esto podía ser mitigado cerrando y volviendo a abrir el navegador debido a que el malware tenía una marca de tiempo en la cookie que impedía el redireccionamiento durante una hora; inyectaba JavaScript malicioso en las páginas web que el usuario visitaba, siendo esto un minero de Coinhive ofuscado; secuestraba las transacciones relacionadas con criptodivisas para desviar dinero del destinarlo hacia la dirección del atacante; además que redireccionaba hacia la referencia del atacante en una web cada vez que la víctima visitaba una que estaba en la lista de FacexWorm, recibiendo el atacante un incentivo de referencia por cada víctima que registrara una cuenta.

Como ya hemos dicho, FacexWorm se instalaba como una extensión para Chrome para el escritorio, por lo que eliminando la extensión se quitaría el problema. Sin embargo, el malware incorporaba para ser persistente un mecanismo que cerraba la sección de extensiones cada vez que era abierta para impedir su desinstalación. TrendMicro se puso en contacto con Google y Facebook para poner en marcha medidas contra FacexWorm. La primera ha eliminado la extensión de la Chrome Store, mientras que la segunda ha actuado para eliminar y evitar la propagación de los enlaces maliciosos.