8 Extensiones de Chrome han sido secuestradas para hackear a 4,8 millones de usuarios

Hace dos semanas, los atacantes lograron hackear las cuentas de desarrollador de dos extensiones comunes de Chrome (Copyfish y Web Developer). El hackeo fue muy simple: cuando el desarrollador ingresó al enlace, fue redirigido a una copia falsa de la página de inicio de sesión de la cuenta de Google, donde el desarrollador ingresó los detalles de inicio de sesión de su cuenta.

Kafeine (investigadores de Proofpoint) descubrió que seis extensiones más de Chrome habían sido secuestradas de la misma manera. La lista incluye:

– Chrometana 1.1.3 [source]

– Infinity New Tab 3.12.3

– Web Paint 1.2.1 [source]

– Social Fixer 20.1.1 [source]

– TouchVPN

– Betternet VPN

Según el investigador:

"A finales de julio y principios de agosto, varias extensiones de Chrome se vieron comprometidas después de que las credenciales de la cuenta de Google de su autor fueran robadas mediante un esquema de phishing. Esto resultó en el secuestro (hijacking) de tráfico y exponer a los usuarios a potencialmente maliciosos pop-ups y robo de credenciales."

Después de obtener acceso a las cuentas hackeadas, los atacantes cambiarán las extensiones para ejecutar tareas maliciosas, o le agregarán código malicioso Javascript en un intento de secuestrar el tráfico y forzar una actualización maliciosa que cargue anuncios en la parte superior de páginas web, para hacer ingresos.

"Los autores de la amenaza continúan buscando nuevas formas de impulsar el tráfico a los programas de susbscrición y efectivamente propagan anuncios maliciosos a los usuarios", concluyeron los investigadores. "En los casos descritos aquí, están aprovechando las extensiones comprometidas de Chrome para secuestrar el tráfico y sustituir anuncios en los navegadores de las víctimas".