Análisis de malware
Extensiones de Chrome utilizadas para robar secretos de los usuarios
19 de octubre de por Pedro Tavares
Vivimos en una era en la que la tecnología forma parte de nuestras vidas. El uso de utilidades para facilitar nuestras tareas diarias y aumentar su eficiencia y precisión es un factor esencial hoy en día. Como resultado, a diario surgen nuevas extensiones, un gran volumen con buenas intenciones y otras aprovechándose de malos propósitos para beneficiar a los delincuentes.
McAfee destacó en su publicación reciente algunas extensiones de Chrome utilizadas por delincuentes para obtener algunos beneficios utilizando ID de afiliados en sitios web de comercio electrónico visitados por las víctimas. Según el análisis de McAfee, más de 1.400.000 usuarios fueron afectados y víctimas de este esquema de las cinco extensiones analizadas.
1: Extensiones maliciosas de Chrome analizadas por el equipo de investigación de McAfee.
Como se observa, estas extensiones tienen una finalidad específica dependiendo de su naturaleza. Uno de ellos está relacionado con Netflix y permite a los usuarios ver contenidos de Netflix juntos; otro se puede usar para tomar capturas de pantalla de un sitio web, etc. Sin embargo, estas extensiones también rastrean la actividad de navegación de los usuarios, envían información a un servidor C2 controlado por delincuentes y manipulan las cookies en los navegadores web de las víctimas para recibir pagos de afiliados por las compras. elementos.
Profundizando en los detalles
Podemos resumir el proceso malicioso con el siguiente flujo:
- Inicialmente, los detalles sobre las máquinas de las víctimas se envían a los delincuentes, incluyendo:
- Geolocalización (ciudad, código postal obtenido a través de una API en línea)
- URL de referencia
- Valor de envío de API (ID aleatorio generado en tiempo de ejecución)
- El sitio web de comercio electrónico visitado
- Nombre de la extensión
- Si el sitio web de comercio electrónico de destino está en una lista de afiliados de destino, continúe
- Se produce el proceso de manipulación y se agrega una identificación de afiliado.
- Delincuentes reciben el beneficio sin autorización y conocimiento de la víctima
La 2 muestra detalles sobre la máquina víctima recopilados en la solicitud » TrackData » y enviados al servidor C2.
2: Detalles sobre la máquina víctima recopilados durante el proceso de navegación.
Si se produce una coincidencia con una lista codificada de sitios web de comercio electrónico afiliados, se obtiene una respuesta JSON con los detalles del proceso de manipulación. Los delincuentes prueban meticulosamente el proceso malicioso y reciben dos operaciones de manipulación diferentes, a saber:
- Resultado[‘c’] – passf_url : se inyectará un iframe específico en el sitio web de destino.
- Resultado[‘e’] setCookie: La cookie será manipulada a través del ID del afiliado.
3: Código fuente responsable de configurar la cookie en el sitio web de comercio electrónico de destino.
La siguiente muestra el escenario cuando se inyecta un iframe específico y la cookie se modifica con el ID del afiliado de destino.
4: Iframe inyectado en un sitio web específico con la cookie modificada con el ID del afiliado de destino.
Durante el análisis de McAfee, los investigadores también identificaron una rutina capaz de eludir la detección de esquemas. En detalle, cada vez que la víctima ejecuta las extensiones, valida la fecha actual con la hora de instalación. Si han pasado 15 días desde el momento de la instalación, continúe. Con este truco, los delincuentes pueden evitar análisis automatizados y controles de seguridad.
Parte de la rutina mencionada se presenta a continuación, donde se utiliza la llamada getTime() para obtener la hora actual y se compara si es 15 días después de su instalación.
5: Mecanismo anti-detección encontrado durante el análisis de extensión.
Cuidado con las extensiones de Chrome
Debido al crecimiento exponencial de los servicios online, en los últimos años se han lanzado diferentes extensiones para facilitar y mejorar la experiencia de los usuarios. Desde el punto de vista de los delincuentes, podemos ver este como un escenario ideal, y el número de extensiones con malas intenciones ha surgido rápidamente.
Si bien no existe una fórmula perfecta para detener amenazas de esta naturaleza, los usuarios deben prestar atención a los permisos solicitados y si la extensión hace lo que se supone o anuncia. Además, se debe analizar detenidamente la autenticidad de la extensión, entendiendo si es confiable, quién es el autor, examinando los comentarios de otros usuarios, la calificación de la extensión y simplemente googleando un poco sobre ella.
El más mínimo signo o comportamiento anormal debe ser objeto de análisis. Ser proactivo.
Fuentes:
Extensiones maliciosas de Chrome , McAfee