Una extensión maliciosa para Chrome es capaz de robar todos nuestros datos
Para empezar diremos que en Internet en la actualidad hay un montón de extensiones maliciosas para el navegador web Google Chrome, aunque también es cierto que algunas son más dañinas que otras, como podremos ver a continuación.
Decimos esto debido a que recientemente se ha detectado una de estas extensiones que se puede considerar como bastante peligrosa para los usuarios que caigan en sus redes, algo que ha sido descubierto por el experto en seguridad conocido como Renato Marinho. En concreto este investigador se dio cuenta de que la extensión se estaba enviando a los usuarios a través de un correo electrónico con phishing y que albergaba algunos enlaces a fotos supuestamente enviadas a través de WhatsApp. Sin embargo, en lugar de las fotos, las víctimas descargaban un archivo de malware llamado «whatsapp. exe».
Así, una vez ejecutado, el fichero en cuestión presenta una falsa pantalla de instalación de Adobe PDF Reader, por lo que en el caso de que la víctima escoja la opción de instalar, activa la descarga de un archivo .cab que contiene dos ejecutables: “md0. exe” y “md1. exe”. Antes de instalar la extensión maliciosa el ejecutable md0 intenta desactivar Firewall del propio Windows, así como eliminar todos los procesos de Google Chrome y desactivar varias características de seguridad que podrían impedir que la extensión funcionase correctamente, como la protección de descarga SafeBrowsing.
Una vez que todo esto se logra, extrae la extensión llamada “Catch-All” y cambia los archivos de lanzamiento de Google Chrome para su próxima ejecución. Finalmente la extensión entra en acción capturando los datos publicados por la víctima en los diferentes sitios web visitados y luego los envía a un servidor C&C usando conexiones ajax jQuery
Cuidado con la extensión de Chrome Catch-All
Decir que algunas extensiones tienen como objetivo principal inyectar anuncios además de spam, mientras que otras apoyan todo tipo de estafas acerca de soportes técnicos o malware con el fin de poder robar credenciales bancarias on-line. Sin embargo Catch-All lo que hace es ir tras cada dato que la víctima publica en cualquier sitio web, incluyendo las credenciales de acceso para todo tipo de servicios de Internet y hacerse con las mismas. Como señala Marinho, esto permite a los ciberatacantes capturar datos altamente confidenciales con un esfuerzo mínimo.
Y es que con este sistema no es necesario que el atacante atraiga a la víctima a un sitio web falso con certificados SSL dudosos o desplegando proxies locales para interceptar las conexiones web, sino todo lo contrario. De este modo el usuario está accediendo a sitios web originales y legítimos, por lo que todas las interacciones están funcionando correctamente, mientras que los datos son capturados y filtrados.