Cuando sufrimos algún tipo de ataque relacionado con la seguridad en nuestro ordenador, muchas veces no sabemos por dónde nos llega. Ahora os vamos a hablar de una extensión de Google Chrome que está poniendo en riesgo tu correo electrónico.
A pesar de todos los años que lleva entre nosotros, los servicios relacionados con el correo electrónico siguen siendo de especial importancia. Esto es algo que se hace patente sobre todo en entornos profesionales donde no queremos que nuestros mensajes caigan en malas manos. Muchos de vosotros probablemente dispongáis de una cuenta, o varias, de Gmail, el servicio de correo de Google.
Pues bien, diversas organizaciones internacionales de seguridad ahora están advirtiendo acerca del uso de una serie de extensiones que se instalan en el navegador Chrome. El peligro de todo ello es que las mismas se encargan, de forma automática, de robar nuestros correos electrónicos de Gmail, lo que puede convertirse en un serio problema. Este ataque a nivel mundial nos llega a través de un grupo malicioso norcoreano que utiliza diversas técnicas para llevar a cabo ciberespionaje. En un principio se centraba en Corea del Sur, pero con el tiempo el grupo ha extendido sus ataques a Estados Unidos y Europa.
Hay que decir que el aviso de seguridad advierte sobre dos métodos de ataque utilizados. Por un lado, usando extensiones maliciosas que se instalan en el navegador Chrome. Por otro lado, a través de aplicaciones para dispositivos Android. Si tenemos en cuenta que estas técnicas pueden emplearse con cualquiera, es importante que tengamos cuidado.
Mira si has instalado la extensión maliciosa en Chrome
Debemos tener muy presente que el ataque en un principio se presenta a través de un correo electrónico que insta a la víctima a instalar una extensión maliciosa de Chrome. Evidentemente este complemento software también es válido para otros navegadores basados en Chromium, como Microsoft Edge. La extensión se llama AF, y si la instalamos, al acceder a nuestro Gmail con el navegador infectado, la extensión se activa automáticamente.
De esta manera se encarga por sí sola de interceptar y robar el contenido de nuestros correos electrónicos. La extensión maliciosa hace uso de la API Devtools para desarrolladores del navegador. Así logra enviar los datos robados al servidor del atacante sin que nos demos cuenta. Es más, para todo ello ni siquiera necesita romper las protecciones de seguridad de la propia cuenta. A su vez es importante saber que no es la primera vez que este grupo utiliza extensiones maliciosas de Chrome para robar correos de sistemas infectados.
Por tanto, si hemos instalado la extensión mencionada llamada AF, deberíamos eliminarla lo antes posible de nuestro equipo. Esto es algo que podemos comprobar de manera sencilla con tan solo escribir teclear lo siguiente en la barra de direcciones de Chrome:
chrome://extensions
Quizá también os interese saber que este mismo ataque afecta a nuestros dispositivos Android y se hace pasar por un plugin de seguridad o por un visor de documentos. En este caso el malware inicia sesión en la cuenta de Google de la víctima, que previamente robaron a través de los correos electrónicos. A continuación, los atacantes usan la función de sincronización de Google Play. Todo ello para instalar aplicaciones maliciosas en el terminal.