Hallada una extensión maliciosa para Chrome que se dedicaba a robar datos bancarios

Desde que Google decidió limitar la forma en la que se podía instalar las extensiones, exigiendo que estas estén en la Chrome Web Store, los cibercriminales se las tienen que ingeniar para colar malware para el navegador Chrome.

Los expertos de Kaspersky Lab han descubierto una extensión maliciosa en la Chrome Web Store que ha impactado casi totalmente en Brasil. De hecho, parece ser que iba dirigido a los usuarios del país latinoamericano, ya que su nombre estaba en portugués.

De nombre “Desbloquear Conteúdo” (desbloquear contenido), básicamente lo que hacía era un ataque de tipo man-in-the-middle que se ejecutaba cuando el usuario infectado visitaba sus cuentas bancarias mediante la interfaz web y usando Chrome (obviamente, en caso de cambiar a Firefox el ataque no se llevaría a cabo), con la intención de robar las credenciales mediante un JavaScript malicioso que redirigía el tráfico a través de un proxy hacia un servidor perteneciente a los cibercriminales, que luego examinaban si lo recolectado les interesaba o no.

Además de los datos bancarios, también contenía scripts diseñados para extraer información introducida vía online por los usuarios. Por ejemplo, cuando un usuario se dirigía a la página de acceso de un banco para iniciar sesión, el malware empleaba una superposición que coincidía perfectamente con la página web del banco para reemplazar los campos de inicio de sesión, contraseña y código de confirmación de una sola vez. Al presionar el botón de enviar, el malware copiaba los datos.

Lo que llamó la atención de los investigadores de Kaspersky Lab fue el hecho de que el servidor de mando y control utilizaba la misma dirección IP empleada por otros dominios que ya fueron marcados como maliciosos en anteriores ocasiones. Cuando se confirmó el origen malicioso del servidor de mando de control, los investigadores decidieron informar a Google para que eliminara la extensión cuanto antes.

Cuando se instalan extensiones, es recomendable supervisar los permisos que solicita. Si uno de ellos es “leer y cambiar todo los datos de las páginas visitadas”, lo recomendable sería no instalarlo, ya que podría tratarse de un malware como el que nos ocupa en esta entrada, además de ser por sí mismo un permiso demasiado poderoso como para concederlo.

Fuente: Kaspersky Lab