El sueño del ciberdelincuente típico es llevar a cabo ataques sin levantar sospechas entre sus víctimas. Cuando más discreto es un ataque, más eficaz suele resultar. Un grupo no identificado alcanzó este anhelo durante un tiempo: consiguió adulterar extensiones legítimas de Google Chrome, de tal forma que los usuarios acababan infectando sus ordenadores sin saberlo.
Lo más curioso de este ataque es que una de las extensiones comprometidas correspondía a Cyberhaven, una compañía de prevención de pérdida de datos. ¿Quién podría haber sospechado de su complemento para el navegador? Posiblemente ninguno de sus clientes, pero el código malicioso ahí estaba, buscando robar cierta información privada de los usuarios.
Extensiones con malware para robar cuentas comerciales de Facebook
El objetivo de los atacantes era apropiarse de cuentas comerciales de Facebook. Si bien esta red social ya ha pasado de moda para muchos, todavía tiene una enorme cantidad de usuarios y, además, es una pieza clave de las acciones de marketing digital de muchas compañías, pues sus herramientas están conectadas también a las otras redes de Meta como Instagram.
Un análisis de Cyberhaven, sí los mismos que fueron atacados, detalla que las extensiones comprometidas recopilaban información como el token de acceso a Facebook y el ID de usuario. También intentaban obtener información sobre la cuenta a través de la API, y enviaban todos estos datos, junto con las cookies de Facebook, a un servidor de comando y control.
La gran pregunta es cómo consigues infectar una extensión de una compañía que se dedica a la seguridad (y más de 30 extensiones más de otras compañías). El vector de ataque inicial utilizado por estos ciberdelincuentes es un claro ejemplo de que las técnicas, cada vez más sofisticadas, son una amenaza para todo tipo de usuarios.
Todo comenzó con una campaña de phishing. Alguien del equipo de desarrollo de las compañías afectadas recibió un correo electrónico donde los atacantes se hacían pasar por Google. El mensaje hacía uso de una táctica habitual en este tipo de prácticas: causar alarma y provocar una acción inmediata. Decía que su extensión infringía las políticas de la Chrome Web Store.
"No permitimos extensiones con metadatos engañosos, mal formateados, no descriptivos, irrelevantes, excesivos o inapropiados, incluidos, entre otros, la descripción de la extensión, el nombre del desarrollador, el título, el ícono, las capturas de pantalla y las imágenes promocionales", decía el correo, y añadía que la extensión podía ser eliminada.
Como podemos ver en la captura de pantalla, el correo parece bastante legítimo a simple vista. Abajo había un botón de “Ir a la política”. Al pulsarlo, las cosas se complicaban. Los ciberdelincuentes montaron todo para minimizar las sospechas. Las víctimas se encontraban con un flujo de autorización estándar (y legítimo) de Google.
Pero detrás de esto había un recurso OAuth malicioso llamado “Privacy Policy Extension” que pedía al usuario acceso para administrar sus extensiones. Las víctimas, sin sospechar anda, acababan dándole el control de sus extensiones a los ciberdelincuentes, quienes más tarde publicaban versiones manipuladas de las mismas para cosechar nuevas víctimas.
Imágenes | Google + Adobe Photoshop | Cyberhaven
Ver 4 comentarios