Los expertos de Bitdefender Labs han detectado que, en estos momentos, se ha paralizado su distribición, pero han recomendado a los usuarios de la plataforma propiedad de Meta, a través de la cual se promovía, que se mantengan alerta a anuncios similares.
Esta campaña, dirigida principalmente a consumidores de entre 18 y 65 años en toda Europa, animaba a los usuarios a instalar de manera urgente una actualización de una extensión del administrador de credenciales Bitwarden que resulta ser fraudulenta.
Para ello, colocaban anuncios engañosos en Facebook en los que se advertía a los usuarios de que sus contraseñas estaban en riesgo. Al hacer clic en ellos, se ejecutaba 'phishing' para redirigir a los usuarios a una página web falsa diseñada para imitar la tienda web oficial de Chrome.
Una vez hacían 'clic' en 'Agregar a Chrome', se redirigía a los usuarios a un enlace de Google Drive, que contenía un archivo con formato ZIP con la extensión maliciosa, tal y como han explicado en una publicación en su blog.
Una vez estaba descargada la presunta extensión de Bitwarden, los ciberdelincuentes incitaban a las víctimas a descomprimir el comentado archivo, acceder a la Configuración de extensiones de Chrome, habilitar el 'Modo desarrollador' y ejecutar la carga manual de la extensión descomprimida.
Una vez instalada, la extensión solicitaba «amplios permisos» que le permitían interceptar y manipular las actividades 'online' del usuario. Por ejemplo, gracias a ellos se podían modificar solicitudes de red y acceder a las 'cookies' gracias al script 'popup.js'.
El 'script' background.js', por su parte, podía recopilar datos de IP y geolocalización, extraer infommación de Facebook, como datos personales, cuentas comerciales o tarjetas de crédito. Una vez recogidos todos ellos, se enviaban a una url de Google Script, que actuaba como servidor de comando y control (C2) para los atacantes. Finalmente, la función 'sendData ()' se encargaba de la filtración de datos, codificando y transmitiendo información confidencial.
Los investigadores han acomnsejado a los usuarios verificar las actualizaciones de extensiones directamente a través de las tiendas oficiales del navegador, en lugar de hacer clic en anuncios o enlaces de terceros.
También se deben examinar los anuncios patrocinados en redes sociales. Especialmente, aquellos que exigen una acción inmediata o actualizaciones de herramientas de seguridad, así como acceso a 'cookies', entre otros datos.
Es aconsejable, por otra parte, utilizar una solución de seguridad y usar la configuración de seguridad del navegador, deshabilitando el modo de desarrollador cuando no se esté utilizando para evitar la carga lateral no autorizada de extensiones.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.