Esta extensión parece de Google, pero está robando tus contraseñas en Chrome
Las extensiones de Google Chrome son una de las técnicas más utilizadas por los piratas informáticos para infectar los ordenadores de los usuarios. Dada su popularidad, engañar a las víctimas para que instalen una extensión para Google Chrome es una técnica de phishing relativamente sencilla y, si se hace bien, incluso puede pasar desapercibida durante años, como ha ocurrido con esta extensión maliciosa que ha estado robando criptomonedas y contraseñas a miles de usuarios.
Esta extensión se hace pasar por una extensión de Google Sheets (las hojas de cálculo de Google) aparentemente oficial. Sin embargo, se trata de un add-on instalado por el malware para Windows ViperSoftX, un RAT (troyano de acceso remoto) que busca tomar el control de los ordenadores de los usuarios.
Cómo actúa el malware ViperSoftX
Este malware (junto a su variante VenomSoftX) lleva activo desde 2020, y se le ha visto actuar en numerosos países, tanto de Estados Unidos como de América del sur y Europa. En 2022, este troyano ha vuelto a las andadas de forma mucho más agresiva para volver a recuperar el número de ordenadores controlados que tuvo años atrás.
La forma de distribución de este malware es, principalmente, a través de descargas ilegales. Tal como advierte la firma de seguridad Avast, se le ha podido encontrar en multitud de juegos pirata bajados del torrent, así como en muchos activadores y programas previamente activados con técnicas ilegales.
Las primeras versiones de este troyano se escondían en el ordenador a la espera de recibir órdenes de un servidor de control remoto para empezar a actuar. Sin embargo, aunque las nuevas versiones y variantes son, a grandes rasgos, similares, los piratas han buscado aprovecharse de Google Chrome para poder tener aún más control sobre los ordenadores y, de paso, facilitar la captura de criptomonedas, contraseñas y más información sensible de las víctimas.
Google Sheets 2.1: la extensión pesadilla
A principios de año, el malware instalaba en el navegador una extensión llamada «Update Manager». Sin embargo, las últimas versiones de este troyano han cambiado el nombre de la misma por «Google Sheets 2.1». De esta forma, se hace pasar perfectamente por la extensión de Google y puede permanecer instalada sin levantar sospechas.
El objetivo de esta extensión es sencillo: permanecer el mayor tiempo posible instalada en el PC con el fin de poder robar todos los monederos de criptomonedas de las víctimas. Las carteras que usa como objetivo son Blockchain.com, Binance, Coinbase, Gate.io y Kucoin, aunque también busca en el portapapeles cualquier dirección de blockchain que se copie. Además de buscar activamente las criptomonedas, este malware también se centra en el robo de contraseñas de las víctimas.
Cuando recopila toda la información, envía un archivo con las direcciones de criptomonedas y las contraseñas capturadas al servidor de los piratas.
Cómo encontrarlo y eliminarlo
Google Sheets en Chrome se instala como una aplicación (es decir, dentro de chrome://apps) y no como una extensión. Por tanto, la forma más rápida de ver si lo tenemos, o no, instalado es escribir en la barra de direcciones chrome://extensions, y buscar si aparece la extensión de Google Sheets. En caso de tenerla, cuidado, estamos infectados por este malware, y tendremos que eliminar la extensión, y analizar el ordenador con un buen antivirus para eliminarla por completo del PC.
Si no nos aparece esta extensión en el ordenador (y tampoco ninguna llamada Update Manager), entonces estamos de suerte, y nuestro PC está seguro.