En diciembre del año pasado, Avast reveló que 28 extensiones maliciosas de navegador disponibles para descargar desde Google Chrome y el sitio web de complementos de Microsoft Edge estaban infectadas con malware.
Ahora, Avast Threat Lab ofrece más detalles sobre esa investigación y muestra el objetivo detrás de estas extensiones de navegador maliciosas, robar información confidencial de las cuentas de Google de la víctima, secuestrar los clics de los usuarios y modificar los resultados de búsqueda.
Entre los hallazgos de los expertos, está la forma en que los creadores de estas extensiones maliciosas las usaron. Esta es una nueva táctica en la que los ciberdelincuentes ocultan el tráfico de Comando y Control (C&C) haciéndolo parecer tráfico de Google Analytics. Los criminales también incluyeron tácticas para intentar esconderse de desarrolladores e investigadores de malware.
Los ataques ocurrieron durante varios días, la víctima descarga una extensión maliciosa y tres días después de la instalación, el código malicioso utiliza un canal secreto para descargar un descargador intermediario, el cual descarga una carga útil de CacheFlow.
Cada vez que se ejecuta el navegador, la carga útil de CacheFlow realiza comprobaciones de desarrollador y anti-análisis, intenta robar información confidencial de la cuenta de Google del usuario, se inyecta un código en cada nueva pestaña, cuando se abre y el malware roba los clics del usuario y modifica los resultados de la búsqueda.
“Creemos que esta es una técnica nueva, parecería que el tráfico incluido al estilo de Google Analytics se insertó en el código no solo para ocultar comandos maliciosos, sino que los autores de las extensiones también estaban interesados en las solicitudes de análisis en sí mismas. Creemos que estaban tratando de resolver dos problemas: comando y control y obtener información analítica, con una única solución”, explicó Jan Vojtěšek, Investigador de Malware de Avast.
El estudio de Avast también mostró que las extensiones exhibían un nivel bastante alto de sigilo al emplear muchos trucos para disminuir las posibilidades de detección. Primero, los ciberdelincuentes evitaban infectar a los usuarios, que probablemente eran desarrolladores web. Lo determinaban a través de las extensiones que el usuario ya tenía instaladas o verificando si el usuario accedió a sitios web alojados localmente.
Además, las extensiones retrasaban su actividad maliciosa durante al menos tres días después de la instalación, para evitar una advertencia temprana. Cuando el malware detectaba que las herramientas de desarrollo del navegador estaban abiertas, inmediatamente deshabilitaba su funcionalidad maliciosa.
Avast señala que al menos 3 millones de usuarios en todo el mundo han descargado e instalado las extensiones maliciosas para Google Chrome. Basándose en su telemetría, la compañía también señala que los tres principales países donde los usuarios descargaron e instalaron las extensiones de CacheFlow fueron: Brasil, Ucrania y Francia.
