➤Extensión Chrome Web Store que roba tarjetas de crédito.


Hemos detectado una extensión para Google Chrome, aún activa, que roba los datos de los formularios de las páginas que son visitadas por las víctimas. El complemento, que aún se encuentra disponible en el market de extensiones para Chrome, lleva activo desde febrero del año pasado.

 Está oculto a las búsquedas en la Web Store, y solo puede accederse a través de un enlace que los atacantes están distribuyendo por medio de ataques de inyección de JavaScript en webs que los redirige a él. 

_____________________________________________________________________________
También le puede interesar: 
SIA: La Aplicación Android de Nuestro Sitio WEB!
_____________________________________________________________________________

Chrome web store Javascript ciberseguridad imagen

La extensión simula ser un “Reader Flash” creada por el supuesto desarrollador fbsgang.info. Una vez instalada, incrusta una pequeña función en todas las páginas que visita el usuario, en concreto, explota la funcionalidad que posee la API webRequest.onBeforeRequest que permite registrar un “hook” que será llamado justo antes de que el usuario emita una nueva petición HTTP dentro de la página (por ejemplo, pulsar un enlace o enviar un formulario).

extensión background ciberseguridad imagen

Esta función registrada monitoriza con expresiones regulares los números de tarjeta de crédito (si observamos el código, vemos expresiones regulares para Visa (vvregex), MasterCard (mcregex), etc. Es decir, si alguno de los datos contenidos en la petición es un número de tarjeta, los enviará codificados en JSON al atacante mediante una petición AJAX. En concreto, emplea la función “sendFormData”, que contiene codificado en base64 la URL de destino:

codificacion en base64 la URL ciberseguridad imagen

aHR0cDovL2Zic2dhbmcuaW5mby9jYy9nYXRlLnBocA==
que una vez decodificada es:

hxxp://fbsgang.info/cc/gate.php
Como vemos, se trata de una extensión sencilla que aprovecha un gran poder al alcance de una sola llamada de una API. Al momento de la detección contaba con unas 400 instalaciones. La infraestructura no se ha difundido masivamente, de momento. Está en la tienda desde febrero de 2018, pero gracias a que los atacantes solo han hecho pública la extensión para quien conoce el enlace, no es posible encontrarla a través de una búsqueda “normal”.   

opciones de visibilidad ciberseguridad imagen

¿Cómo se distribuye entonces?
En vez de captar víctimas a través de la búsqueda o a través de un envío masivo de mails, cosa que haría que la campaña fuese más exitosa pero seguro más “detectable”, los atacantes han preferido otra técnica. Infectan páginas webs (hostings completos con todas sus webs, como hemos observado) con un JavaScritpt que detecta si el navegador es Chrome. Si es así, simplemente redirigen a una página que indicará que debe instalar Flash y así, será redirigido a esta extensión. Este es el fragmento de JavaScript inyectado en las webs.

fragmento de JavaScript inyectado en las webs ciberseguridad imagen

El detalle es que los autores no han finalizado correctamente la pieza aún (o la han desactivado por alguna razón), por lo que el contenido actual que presenta es el índice de archivos del servidor:

índice de archivos del servidor ciberseguridad imagen

Esto no afecta a la extensión, solo a la fórmula de difusión. Si volvemos “atrás en el tiempo”, en concreto, vemos que el aspecto anterior era mucho más creíble:

índice de archivos del servidor aspecto anterior ciberseguridad imagen

Si observamos su código fuente:

índice de archivos del servidor codigo fuente ciberseguridad imagen

El código JavaScript, posteriormente a su decodificación, presenta el siguiente aspecto:

Aspecto del código JavaScript, posteriormente a su decodificación ciberseguridad imagen

Es decir, presenta al usuario la petición para instalar Adobe Flash y lo redirige al market de extensiones para Chrome. Justo a la extensión que comentábamos al comienzo. Cerrando el círculo de la infección y robo de información. Hemos alertado a Google sobre esta extensión para que sea retirada cuanto antes. Entre las páginas web, sería recomendable buscar un JavaScript con la estructura mostrada por si alguna estuviese infectada. Aunque el ataque parezca “detenido” la extensión sigue suponiendo una grave amenaza. Su hash es: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf.

_____________________________________________________________________________
También le puede interesar:
Las nuevas fallas en la escalada de privilegios de Systemd afectan la mayoría de las distribuciones de Linux. ____________________________________________________________________________

__________________________________________________________

Tomado de: blog.elevenpaths.com

Se Respetan Derechos de Autor.

1209total visits,3visits today