Cada vez es más el malware que intenta robar los datos de los usuarios, como contraseñas y datos bancarios, mediante la creación de extensiones falsas para Google Chrome. El navegador web más utilizado en PC es uno de los principales objetivos, pues si el usuario instala una extensión con todos los permisos, el atacante lo tiene muy fácil para robar nuestros datos.
UN NUEVO MALWARE SE TRANSMITE POR EMAIL Y WHATSAPP PARA INSTALAR UNA EXTENSIÓN MALICIOSA EN CHROME
La última en estar relacionada con este caso es una extensión para Chrome que se envía a través de emails de phishing y roba toda la información del usuario. Esta extensión se diferencia de las anteriores en que las otras atacaban unas direcciones URL y credenciales concretas, mientras que esta busca atacar todo.
El origen del malware es Brasil, y se puede extender fácilmente a otros países de habla hispana de Latinoamérica o mismamente a España como ha ocurrido en otras ocasiones. El email de phishing contiene un enlace cebo relacionado con unas fotografías enviadas supuestamente por WhatsApp, está escrito en portugués muestra el siguiente texto:
“Segue as (Fotos Final de Semana) Enviadas via WhatsApp (30244)…. See the (Weekend Photos) Sent via WhatsApp (30244).”
Este mensaje se está enviando sobre todo a través de email y WhatsApp. El enlace de las supuestas fotos lo que hace es descargar un archivo llamado “whatsapp.exe”, que ejecuta un falso instalador de Adobe Acrobat Reader. Mientras se muestra el instalador falso, en segundo plano el malware está comunicándose con su servidor de control para descargar dos archivos, después de los cuales se ejecuta un archivo llamado “md18102136.cab”. Comprimido ocupa 9,5 MB, y descomprimido sube hasta los 200 MB.
DESACTIVA EL FIREWALL Y LOS MECANISMOS DE PROTECCIÓN DE GOOGLE CHROME
En su ejecución, desactiva el Firewall de Windows y cierra todos los procesos de Google Chrome para instalar la extensión maliciosa Catch-All, escrita en JavaScript. Después, modifica todos los accesos directos de Google Chrome para que se ejecute el malware cada vez que abrimos el navegador. Así, todo lo que el usuario hace en el navegador y todas las webs que visita están siendo espiadas por la extensión, enviándose toda la información al servidor de control y emisión de órdenes del creador del malware. El acceso directo de Chrome queda de la siguiente manera después de haber sido modificado por el malware, desactivando el SafeBrowsing:
“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –disable-extensions-file-access-check –always-authorize-plugins –disable-improved-download-protection –load-extension=”C:\Users\<USER>\AppData\Local\complemento\E1EDEAE8EFE3E0EEE0DC2610495.”
Los descubridores de este ataque han afirmado que el malware se encuentra en plena expansión, por lo que hay que andarse con mucho ojo. Además, afirma que protocolos como TSL o SSL no hacen nada para proteger a las víctimas ante este ataque porque la extensión obtiene los datos en texto plano dentro del propio navegador antes de enviarlo a través de una conexión HTTPS segura.