Ciberseguridad

Columna de Ciberseguridad : El nuevo campo de batalla del malware

ciberseguridad malware
Compartir:

Por Sergio De Los Santos,

Director Innovación y Laboratorio en CiberSeguridad en ElevenPaths.

Google tiene un problema con el malware y cómo llegan a Web Stores y Google Play. Aunque el problema de Android es más conocido, la Web Store de Chrome también dispone de un buen surtido de extensiones maliciosas (principalmente adware). Tras un tiempo en el que era de lo más habitual encontrar extensiones suplantando otras y robando información, Google puso reglas algo más duras. Pero no demasiado. Como con Google Play, pequeños pasos que nunca cortan el problema de raíz. No sirvió de mucho. En agosto de 2020 se propone atacar el problema de nuevo, con reglas más restrictivas. Veremos qué ocurre.

Algunos ejemplos

Hace muy poco se descubrió que hasta 106 extensiones se colaron en Web Store, pero esta vez de forma coordinada por parte de una compañía de registro de dominios (GalComm), cosa que la compañía niega. A partir de ellos tiraron del hilo y encontraron todo tipo de extensiones (descargadas 32 millones de veces en conjunto) que contactaban con estos dominios y robaban información del sistema: desde leer el portapapeles hasta registrar las teclas o robar cookies. Al parecer entre las víctimas hay compañías importantes, desde financieras hasta eléctricas.

En abril de 2020, se detectaron decenas de extensiones maliciosas. Se hacían pasar por gestores de wallets de bitcoins pero que en realidad robaban la información de las carteras de las víctimas.  En 2018, colaron en Chrome Web Store dos extensiones fraudulentas que se hacían pasar por Adblock y uBlock, dos de las extensiones más populares que existen. Plagiaron nombre pero no el logotipo, y así consiguieron 1.6 millones de descargas.

Pero no solo las extensiones de Chrome. Mozilla retiró no hace tanto, cuatro extensiones para su navegador Firefox de Avast (y AVG, que le pertenece) por atentar contra la privacidad del usuario. Las extensiones eran: Avast Online Security, AVG Online Security, Avast SafePrice, y AVG SafePrice.

Nosotros mismos encontramos una extensión maliciosa en Chrome que robaba tarjetas de crédito en 2019.

¿Cómo se crea o convierte una extensión en maliciosa?

Existen tres vías principalmente.

1) El propio desarrollador crea la extensión de adware/malware

De forma un poco sutil, para poder llegar a la tienda sin sospechas, los atacantes buscan publicar directamente extensiones que son adware o malware. La temática puede variar y los trucos suelen ser técnicos para ocultar sus intenciones. Desde aquí hacen spam, intentan inyectar adware, etc. Todo vale mientras Google apruebe la extensión. Crear un usuario desarrollador en WebStore solo son 5 dólares, así que merece la pena. También cabe la posibilidad de distribuirlas fuera incluso del Web Store oficial.

2) Comprando extensiones reputadas

Se buscan extensiones con una buena base de usuarios que hayan realizado usuarios amateurs, y se ofrece un buen dinero al desarrollador por tomar el control de esa extensión. La mayoría, que ya no tienen tiempo de mantenerla o que no saben cómo monetizarla, ven un buen negocio para el tiempo que le han dedicado a su desarrollo. Así que acceden. Pero al venderlas, los atacantes toman el control. Existen multitud de testimonios de desarrolladores que han visto como sus decenas de miles de usuarios le recriminan haberlos finalmente infectado cuando “vendió” su creación. El atacante se encuentra con una buena base de usuarios fieles. A partir de ahí, el nivel de agresividad que incluya en la extensión depende de él mismo.

3) Robando extensiones

De alguna forma consiguen la contraseña de desarrollador de las extensiones populares y modifican su código. Esto ya ocurrió hace algunos años. El problema aquí es que el dueño o los usuarios alertan sobre la modificación en poco tiempo, y o bien el desarrollador legítimo o la propia Google eliminarán relativamente rápido el problema en la extensión.

¿Por qué tanto interés en las extensiones?

Las extensiones de Chrome son pequeños programas que pueden modificar y mejorar las funcionalidades de Chrome. Habitualmente usan HTML, JavaScript, CSS, etc. Algo a que los antivirus no están acostumbrados o no son especialistas. Pueden interactuar libremente con el contenido web visitado, alterando lo que vemos en la web, enviándolo a un tercero, tomando la decisión de hacia donde navegamos, etc. Algo muy potente y que por tanto se regula con un sistema de permisos. El último clic en el proceso de instalación está reservado para que el usuario decida si quiere dar estos permisos a la extensión. Si la extensión los consigue, puede llegar a hacer bastante daño.

Por cierto, si en lo que análisis de extensiones se refiere aún no la has usado, nuestra herramienta NETO es una auténtica navaja suiza para ayudarte en tus análisis. Pruébala. Así mismo, si necesitas una asesoría completa, en Movistar Empresas tenemos un equipo de especialistas que te pueden ayudar a detectar los más complejos Ciberataques. Conócelo aquí.

Servicios relacionados

Movistar - Experiencia 5G
Contenidos relacionados