los desarrolladores de extensiones de Google Chrome cada vez están siendo blanco de los atacantes en un intento de secuestrar el tráfico del navegador del usuario mediante phishing para obtener información sensible.
Extensiones Chrome en la Lista atacantes Hit
Recientemente se informó que una extensión de Google Chrome con el nombre de Copyfish se vio comprometida por sus desarrolladores después de los atacantes fueron capaces de engañar a uno de sus miembros del equipo en respuesta a un correo electrónico de phishing que proporciona a los atacantes sus credenciales. Esto no fue una coincidencia. Se ha informado de que al menos otros siete extensiones de Chrome han sido comprometidos por los atacantes recientemente. Una extraña sensación de está subiendo en los usuarios de Chrome, si Google y los desarrolladores de extensiones pueden garantizar la seguridad cibernética de usuarios y proteger su información.
Ya en julio, credenciales de desarrollador de software pertenecientes a A9t9 se vieron comprometidas gravemente, por lo que la extensión de reconocimiento óptico de caracteres libres muy populares también conocido como “Copyfish” fue secuestrado por los atacantes y efectivamente utilizado para enviar correo no deseado en una campaña de phishing organizada. Los investigadores están advirtiendo que los atacantes han mejorado su juego desde, que buscan aprovechar un gran número de extensiones de Chrome para secuestrar el tráfico y participar en publicidad maliciosa. Una vez que los atacantes obtener las credenciales del desarrollador, más probable es que sería a través de campañas de phishing por correo electrónico, versiones maliciosas de las extensiones legítimos podrían publicarse.
Extensiones recién comprometida y la amenaza que suponen para usted
Investigadores de Proofpoint publicó un informe el lunes provocando la lista completa de extensiones comprometidas incluyendo Social Fixer (20.1.1), web Paint (1.2.1), Chrometana (1.1.3), Infinity Nueva pestaña (3.12.3), Desarrollador (0.4.9). Todas las extensiones enumeradas se cree que han sido modificados por el mismo individuo utilizando el mismo modus operandi. El informe también deja claro de inclinación de los investigadores a creer que las extensiones de Chrome TouchVPN y Betternet VPN también se vieron comprometidas por el mismo método anterior, en junio de este año.
El comportamiento malicioso exhibida por las extensiones recién comprometidos abarca desde los anuncios que sustituyen en el navegador del usuario; el secuestro de tráfico en línea de redes de publicidad auténticos y legítimos; y para las víctimas de haber sido engañado bajo una identidad falsa para reparar sus dispositivos, haciendo clic en alertas de JavaScript falsos. Por lo tanto esto lleva al usuario se le pida para reparar sus dispositivos que les redirige a un programa de afiliados de la cual los atacantes esencialmente beneficio de.
El informe también sugiere que, además de secuestrar el tráfico y la conducción de las víctimas a los programas de afiliados cuestionables, atacantes también se han encontrado capaz de recoger y obtener credenciales Cloudflare, proporcionándoles nuevos medios por los cuales podrían potenciales de dispositivos astucia futuros ataques contra los usuarios. Aunque algunos sitios web fueron blanco de los atacantes, los investigadores también han señalado que los atacantes se centraron principalmente en sitios web para adultos con sustituciones cuidadosamente designados.
Si uno analiza cuidadosamente las páginas de afiliados de aterrizaje utilizadas por los atacantes - explorador de actualización[.]información y searchtab[.] que se dará a conocer que hay un tráfico considerable que fluye a través de ellos. Lo que es aún más sorprendente es que searchtab[.]ganar solo recibió alrededor 920,000 visitas en un mes aunque no queda claro en cuanto a la proporción de tráfico generado por la extensión secuestrado.
Chris Pederick que es uno de los desarrolladores de ser afectados por los secuestros de extensión y el desarrollador de la Web Developer extensión de Chrome ha atraído interés de los investigadores y provocó una respuesta rápida por la comunidad cibernética después tuiteó su extensión había sido comprometida.
Los investigadores fueron capaces de poner sus manos en la versión en peligro de extensión de Pederick y aislar el código malicioso inyectado. Ahondar en ella, el código se revela tener atacantes permitidos para recuperar un archivo remoto con el nombre de “ga.js” a través de HTTPS desde un servidor con un dominio que es generado por un algoritmo generador automático de dominio. Lo que esto significa es que el primer paso del código permitirá a los atacantes para llamar condicionalmente secuencias de comandos adicionales con una parte de los scripts utilizados para capturar las credenciales CloudFlare, por lo tanto, sin pasar por la seguridad CloudFlare y permitiendo a los atacantes para sustituir los anuncios en los sitios web.
Phishing para las extensiones de Google Chrome puede no ser una prioridad de muchos desarrolladores, por lo tanto, todo el mundo por qué el tema ha tomado horrorizado e inesperadamente. Sin embargo, con un informe profundo sobre el tema de suplantación de identidad ya está disponible, parece que los desarrolladores tienen más remedio que dedicar más de su tiempo específicamente en no caer en ataques de phishing.
