Siete extensiones que se distribuyen a través de Facebook que roban tus Passwords

Atraer a usuarios a redes sociales, y abrir Pop-up a sitios web que parecen ser completamente legítimos para que el usuario final instale una extensión de Chrome, es uno de los modus operandi mas comunes de los ciber-criminales para poder distribuir malware.

Investigadores de seguridad nuevamente están alertando a los usuarios sobre nuevas campañas de distribución de malware, la ultima campaña descubierta ha estado activa desde marzo de este año y ya lleva mas de 100.000 usuarios infectados en todo el mundo.



Apodado como Nigelthorn, el malware es distribuido rápidamente a través de ingeniería social en Facebook, haciendo que el usuario instale extensiones dañinas en los navegadores web con el fin  de robar credenciales en redes sociales, realizar minería de criptomonedas y realizar estafa mediante fraude.



El malware ha sido detectado en siete extensiones diferentes de Chrome. Todas estas hosteadas en el sitio oficial de Google Chrome web Store.

Estas extensiones maliciosas fueron descubiertas por investigadores de la firma de CiberSeguridad Radware, después de una revisión de seguridad de uno de sus clientes, y detectaron que este ya estaba comprometido.


La campaña opera inicialmente haciendo copias legitimas de un software en particular, pero añadiendo un script malicioso, el cual es ofuscado para que no sea detectado por la revisión de google. Como se mencionó anteriormente, este script ha sido detectado ya en siete aplicaciones que están siendo almacenadas en el portal oficial de Google Web Store.

Versión legítima a la izquierda, versión maliciosa a la derecha


Propagación


El malware es distribuido mediante ingeniería social en Facebook. Los links que son publicados en esta plataforma redirigen al usuario a un sitio falso de Youtube, solicitándole al usuario que instale una extensión de Chrome para que este pueda seguir viendo el video.

Una vez instalado, la extensión ejecuta un código malicioso en JavaScript el cual transforma el equipo infectado en parte de una botnet.


Acciones


Este malware centra su foco de robo en cuentas de Facebook y de Instagram y colecta información desde esas cuentas, cosa de poder reenviar links maliciosos a sus amigos y asi poder extender la distirbución del malware.

NigelThorn también descarga una herramienta de minería de criptomonedas basada en navegador, disponible públicamente, como un complemento para activar los sistemas infectados y comenzar a extraer criptomonedas, como Monero, Bytecoin o Electroneum.