Trend Micro descubrió dos extensiones de navegador maliciosas que roban cuentas de Twitter, Facebook y Google+.
Los atacantes insertan enlaces en sitios de redes sociales, si el usuario da clic sobre ellos, éstos solicitan la instalación de una actualización del reproductor de video. Éste es un método común utilizado para incitar a los usuarios a descargar software malicioso.
La falsa actualización atrae a los usuarios de una manera macabra: dice ser el enlace a un video de una joven cometiendo suicidio, de acuerdo a la descripción de Trend Micro.
La actualización incluye una firma criptográfica que es utilizada para verificar que una aplicación proviene de determinado desarrollador y que no ha sido modificada, escribió Don Ladores, quien trabaja en respuesta a amenazas informáticas con Trend Micro. ”Aún no está claro si la firma fue emitida de manera fraudulenta o si la clave de firma de una organización válida ha sido comprometida y está siendo utilizada con fines maliciosos”, escribió.
Los cibercriminales a menudo intentan apoderarse de certificados digitales legítimos de otros desarrolladores con el fin de hacer parecer a su malware menos sospechoso. Si la actualización maliciosa es ejecutada, el malware instala una extensión falsa de Firefox o Chrome, dependiendo del navegador utilizado por la víctima.
Los plugins maliciosos aparentan ser legítimos, siendo nombrados «Chrome Service Pack 5.0.0» y «Mozilla Service Pack 5.0». Otra variante de la extensión pretende ser la «F-Secure Security Pack 6.1.0», haciendose pasar por un producto de la compañía finlandesa de seguridad.
Ladores comentó que Google ahora bloquea la extensión que usa el nombre de la compañía.
Los plugins realizan una conexión a otro sitio web y descargan un archivo de configuración, el cual permite robar la información de autenticación para cuentas de redes sociales del usuario como Facebook, Google+ y Twitter. Con esto, los atacantes pueden llevar a cabo una serie de acciones, como utilizar a conveniencia la opción «Me gusta” en sitios bajo su control, publicar posts, actualizar estados y publicar comentarios, indicó Ladore.