Las versiones recientes de varias extensiones de Chrome se han visto comprometidas para distribuir anuncios maliciosos.

Los atacantes han desarrollado phishing como una manera de comprometer las extensiones de Chrome en propagar anuncios de programas de afiliados que asustan a las víctimas a pagar por reparaciones de PC.

El investigador de Proofpoint Kafeine ha identificado seis extensiones comprometidas de Chrome que han sido modificadas recientemente por un atacante después de haber falsificado las credenciales de la cuenta de Google de un desarrollador.

Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, Copyfish 2.8.5, Web Paint 1.2.1, and Social Fixer 20.1.1 se vieron comprometidos a finales de Julio y principios de Agosto. Kafeine cree que TouchVPN y Betternet VPN también se incluyeron a finales de Junio con la misma técnica.

Los desarrolladores de varias de las extensiones han eliminado la amenaza en las actualizaciones recientes de sus aplicaciones afectadas, como Web Developer, Copyfish, Chrometana y Social Fixer.

La intención principal del ataque a los desarrolladores de extensión de Chrome es desviar a los usuarios de Chrome a programas de afiliación y cambiar los anuncios legítimos con los maliciosos, para generar en última instancia dinero para el atacante a través de referencias.

Los atacantes también han estado reuniendo las credenciales de los usuarios de Cloudflare, un servicio de disponibilidad para los operadores de sitios web, que probablemente podría ser utilizado en futuros ataques.

Las extensiones fueron codificadas principalmente para sustituir anuncios de banner en sitios web para adultos, pero también por una serie de otros sitios y para robar tráfico de redes publicitarias legítimas.

“En muchos casos, las víctimas fueron presentadas con falsas alertas de JavaScript que les pedían que repararan su PC, luego redirigirlas a programas de afiliados de los cuales los actores de la amenaza podrían beneficiarse”, señala Kafeine.

Al menos uno de los programas de afiliados que recibieron el tráfico promovió a PCKeeper, una herramienta centrada en Windows originalmente de ZeobitLLC, el fabricante del producto de seguridad MacKeeper que fue objeto de una demanda colectiva hace unos años por falsas reclamaciones de seguridad.

Un fragmento de JavaScript en las extensiones comprometidas también descargó un archivo que era servido por Cloudflare que contenía código con una secuencia de comandos diseñada para recopilar las credenciales de usuario de Cloudflare después del inicio de sesión. Cloudflare dejó de servir el archivo después de que fue alertado del problema por Proofpoint.

Los correos electrónicos de phishing que comprometieron las cuentas de Google de los desarrolladores supuestamente procedían del equipo Chrome Web Store de Google, que afirmaba que la extensión del desarrollador no cumplía con sus políticas y que se eliminaría a menos que se solucionara el problema.

Como informó recientemente el equipo de Bleeping Computer, el equipo de seguridad de Google envió un mensaje de advertencia por correo electrónico a los desarrolladores de extensiones de Chrome para que estén atentos a los ataques de phishing. Los atacantes habían creado una copia convincente de la página de inicio de sesión real de Google.

No es la primera vez que las extensiones de Chrome se han centrado en difundir adware y promover redes de afiliados. En 2014, las firmas de adware compraron varias extensiones populares de Chrome a desarrolladores legítimos, que hasta ese momento habían mantenido productos confiables.

[Total:0    Promedio:0/5]
css.php