El estado del malware de extensión del navegador

Es hora de que cambiemos nuestra forma de pensar sobre el malware. Ya no se limita a un sistema operativo o tipo de dispositivo específico. Al igual que con los ataques de phishing, los desarrolladores de malware han estado trabajando en malware que puede afectar una gama más amplia de sistemas para aumentar la cantidad de víctimas potenciales de sus campañas maliciosas. Los navegadores web se han convertido en superficies de ataque muy lucrativas y efectivas que permiten a estos actores de amenazas ejecutar código dentro de la propia aplicación como extensiones, manteniendo la actividad maliciosa fuera de los ojos de la mayoría de las herramientas de seguridad de punto final.

Los navegadores web son tesoros ocultos de información personal y privada, especialmente porque la mayoría de los datos confidenciales procesados ​​en un dispositivo, como la información de la tarjeta de crédito y las contraseñas, pasan por la experiencia web. Este hecho por sí solo ha impulsado un aumento significativo en la cantidad de extensiones de navegador maliciosas detectadas en la naturaleza, dirigidas a víctimas desprevenidas en entornos de consumidores y empresas.

Una vez instaladas, estas extensiones maliciosas pueden robar cookies o credenciales, capturar pulsaciones de teclas, extraer criptomonedas en el dispositivo de la víctima, inyectar código javascript malicioso en páginas web o incluso usar exploits de navegador para colocar malware en el dispositivo de la víctima.

De acuerdo a Investigación de SentinelOne, las extensiones de navegador eran una de las seis amenazas del mundo real para Chromebook y ChromeOS. El equipo de Zimperium zLabs ha clasificado miles de muestras de extensiones de navegador maliciosas alojadas en múltiples repositorios y tiendas utilizando varios métodos de ingeniería inversa dinámicos y estáticos. Las piezas cubiertas en este blog estaban presentes en tiendas de extensiones de terceros y no estaban presentes en ningún repositorio oficial de Chrome.

Durante nuestra investigación encontramos que las categorías más comunes para las extensiones indeseables son:

  • software espía
  • Inyector de JavaScript
  • Aplicaciones potencialmente no deseadas (PUA)
  • publicidad
  • Minero
  • Modificador de navegador
  • Bloqueador de anuncios falsos

La distribución de estas familias se muestra en la siguiente figura:

Figura 1: Clasificación de malware
Figura 1: Clasificación de malware

El adware y el spyware representan las familias de malware más comunes, y 11 de los 15 principales descubiertos pertenecen a una de esas dos. Otras familias fueron inyectores de JavaScript, aplicaciones potencialmente no deseadas (PUA) y modificadores de navegador.

Si incluimos algunas subfamilias para cada categoría, la distribución familiar se muestra en la Figura 2.

PRINCIPALES FAMILIAS DE MALWARE DE EXTENSIONES DE CHROME

Figura 2: Principales familias de malware
Figura 2: Principales familias de malware

Bloqueadores de anuncios falsos

Los bloqueadores de anuncios son una extensión común en la tienda web de Chrome, que prometen desactivar los anuncios en los sitios web y mejorar la experiencia de navegación web. Muchos bloqueadores de anuncios falsos son clones de bloqueadores de anuncios legítimos de código abierto pero con un código adicional insertado para cumplir un propósito malicioso, comúnmente entregado a través de tiendas de extensiones de terceros. Algunos bloqueadores de anuncios están cargados de criptominería o relleno de cookies con fines monetarios.

En el marketing de afiliación, un sitio web de un tercero coloca anuncios del producto en su sitio web. Cuando los usuarios hacen clic en el anuncio y realizan una compra, el sitio web de terceros gana una comisión por esa compra. También pueden ganar una comisión si el usuario cierra ese sitio web después de esa redirección y realiza una compra más tarde usando el mismo navegador. Cada vez que se redirige a un usuario desde un anuncio al sitio web del producto, se coloca una cookie en el navegador del usuario, lo que otorga crédito al comerciante afiliado por el tráfico (Figura 3). Si bien el marketing de afiliación es un concepto legítimo, el relleno de cookies es un proceso en el que estos bloqueadores de anuncios falsos redirigen a los usuarios al sitio web para colocar cookies sin el conocimiento del usuario para generar ingresos para el desarrollador de la extensión.

La Figura 4 muestra un ejemplo de una cadena de redirección y un relleno para cocinar para una segmentación por extensión aliexpress.com. Desde un punto de vista técnico, las cookies de afiliados se colocan en el navegador de la víctima utilizando el encabezado de respuesta Set-Cookie en la solicitud HTTP. (Figura 5). Si el usuario luego visita el sitio web de destino y completa una transacción calificada (como hacer una compra), la parte malintencionada recibe una comisión.

Figura 3: Relleno de galletas
Figura 3: Relleno de galletas
Figura 4: Cadena de redirección
Figura 4: Cadena de redirección
Figura 5: Encabezado Set-Cookie en respuesta HTTP
Figura 5: Encabezado Set-Cookie en respuesta HTTP

software espía

El spyware es un problema en todos los dispositivos, desde dispositivos móviles hasta terminales tradicionales, y a menudo depende de exploits y malware complicados. En los puntos finales tradicionales, el software espía suele vigilar a los usuarios accediendo a la cámara y al micrófono, así como monitoreando la actividad web y de comunicación. Pero el software espía integrado en las extensiones del navegador puede eludir las capas de seguridad tradicionales, es menos difícil de crear y brinda acceso directo al contenido del navegador, incluido el tráfico del navegador sin cifrar. Las extensiones de spyware generalmente están diseñadas para robar cookies y credenciales para varios sitios web, como Facebook, Robloxy Monederos criptográficos. Estos tipos de software espía a menudo se denominan ladrones de información.

Figura 6: Clasificación de spyware
Figura 6: Clasificación de spyware

Un ejemplo de spyware es una extensión Fake Google Translate (identificador:hemlmgggokggmncimchkllhcjcaimcle) diseñada para robar los datos de Facebook de una víctima. El nombre y el ícono de esta extensión se reemplazan con los de Google Translate para engañar a las víctimas haciéndoles creer que se trata de una extensión legítima (Figura 7). Pero el análisis del código fuente revela su verdadera intención como spyware.

Figura 7: Extensión: software espía hemlmgggokggmncimchkllhcjcaimcle (Traductor falso de Google)
Figura 7: Extensión: software espía hemlmgggokggmncimchkllhcjcaimcle (Traductor falso de Google)

La Figura 8 muestra cómo esta extensión anula el favicon, el amplio conjunto de permisos solicitados y cómo la descripción está diseñada para imitar la de Google Translate.

Figura 8: manifest.json resaltando el nombre y la descripción falsa.
Figura 8: manifest.json resaltando el nombre y la descripción falsa.

manifiesto.json tiene la variable de fondo con la página fondo.html, que incluye background.js (Figura 9). La extensión recoge todas las cookies en variable _0xd560x21luego lo convierte a JSON y lo cifra antes de enviarlo al C&C.

Figura 9: fondo.js
Figura 9: fondo.js

Aplicaciones potencialmente no deseadas (PUA)

Las PUAs son programas que degradan la experiencia del usuario al mostrar anuncios, redirigir páginas web, usar recursos informáticos, rastrear usuarios y más. Por lo general, menos maliciosas que otras amenazas, estas extensiones se instalan junto con algunas aplicaciones del sistema operativo. Muchas de las extensiones PUA van desde Barras de herramientas a Páginas de nueva pestaña.

Figura 10: barra de herramientas de ask.com
Figura 10: barra de herramientas de ask.com

La Figura 10 muestra la barra de herramientas Ask instalada y algunas versiones de la configuración de Java (Figura 11). Esta barra de herramientas se vincula estáticamente en todas las páginas web que visita un usuario.

Figura 11: configuración de Java
Figura 11: configuración de Java

Inyectores de JavaScript

El malware JavaScript Injector inyecta su código javascript malicioso en las páginas web que visita la víctima. Este Javascript inyectado puede robar tokens, cookies, información de pago y contraseñas que se ingresan en cualquier sitio web. También pueden inyectar anuncios maliciosos o engañosos en una página web.

Los inyectores de Javascript usan técnicas más sofisticadas como esteganografía para pasar de contrabando código malicioso dentro de las imágenes para evadir herramientas perimetrales como puertas de enlace web y filtros de contenido. La Figura 12 muestra el archivo de manifiesto de un ejemplo de tales extensiones.

Figura 12: archivo manifest.json
Figura 12: archivo manifest.json

Aquí los permisos incluyen galletaslos recursos_accesibles_web son a548b2c2c8464aeaefad60db73ed6b72.png , tyutsfffr.jsy fondo.jsy content_script es tyutsfffr.js. El código que inyecta código malicioso a un la página web se encuentra en el archivo tyutsfffr.js.

La imagen a548b2c2c8464aeaefad60db73ed6b72.png (Figura 13) incrustó los datos que se muestran en la Figura 14. El código inyectado se utiliza para recopilar búsquedas de Amazon y redirigir las búsquedas de Yahoo y otros sitios web de reservas.

Figura 13:: a548b2c2c8464aeaefad60db73ed6b72.png
Figura 13:: a548b2c2c8464aeaefad60db73ed6b72.png
Figura 14: volcado hexadecimal de a548b2c2c8464aeaefad60db73ed6b72.png
Figura 14: volcado hexadecimal de a548b2c2c8464aeaefad60db73ed6b72.png
Figura 15: tyutsfffr.js
Figura 15: tyutsfffr.js

El código javascript malicioso se oculta en los píxeles de la imagen y luego se pasa a evaluar (en la función de ejecución). Después de descifrar el a548b2c2c8464aeaefad60db73ed6b72.png usando el proceso LoadPNGData (Figura 15), el código real da como resultado el siguiente JavaScript desempaquetado (Figura 16)

Figura 16: código descifrado de a548b2c2c8464aeaefad60db73ed6b72.png
Figura 16: código descifrado de a548b2c2c8464aeaefad60db73ed6b72.png

Después de varias redirecciones, la URL final es https[://]funcionarc.cool/dd906ff71a73923712.js, que contiene el código malicioso (Figura 16). El análisis del código malicioso está más allá del alcance de esta publicación de blog.

Mineros / CryptoJackers

criptojacking utiliza CPU y otros recursos en las computadoras personales, portátiles y dispositivos móviles de la víctima para extraer criptomonedas. Estos se encuentran más comúnmente en archivos binarios, como aplicaciones descifradas o descargadas, que se están moviendo para aprovechar las extensiones para obtener acceso a los recursos de CPU y memoria.

A continuación se muestra un ejemplo; esta extensión parece ser un simple reloj, pero extrae criptomonedas en la computadora personal del usuario, utilizando recursos hasta que se cierra la última pestaña del navegador.

Figura 17: Extensión del minero
Figura 17: Extensión del minero

El siguiente código se inyecta en el fondo.js archivo y representa un reloj que el usuario puede encontrar valioso. En el fondo, utiliza colmena servicio a la mía dinero en las pestañas del navegador y en segundo plano.

Figura 18: fondo.js
Figura 18: fondo.js

publicidad

El adware es malware que muestra automáticamente anuncios de los que pueden beneficiarse los actores maliciosos. En las extensiones de navegador, el adware se presenta de muchas formas, y las versiones más comunes de adware tienen la capacidad de:

  • Reemplace el motor de búsqueda predeterminado con el suyo propio y muestre búsquedas en las páginas web afiliadas que muestran anuncios y resultados de búsqueda.
  • Inyecte anuncios/ventanas emergentes en todas las páginas web que visita un usuario.
  • Inyecte anuncios clickunder en las sesiones actuales del navegador. Por lo general, redirigen a las páginas web afiliadas tan pronto como un usuario hace clic en el sitio web que ha sido inyectado con anuncios de clic subyacente.
  • Redirige directamente una búsqueda de Google, Yandex, Bing, Yahoo a las páginas web afiliadas.

La figura 19 muestra un ejemplo de adware que se hace cargo de la página de búsqueda para mostrar sus propios anuncios. Cuando los usuarios usan Google para buscar cualquier cosa, esta extensión agrega anuncios con enlaces afiliados.

Figura 19: Resultados de la búsqueda de
Figura 19: Resultados de la búsqueda de «portátil» cuando la extensión está instalada

Modificadores del navegador

Los modificadores de navegador son tipos de extensiones que cambian la configuración general de los navegadores. Como se muestra a continuación (Figura 20), estas configuraciones suelen ser motores de búsqueda omnibox o páginas de nuevas pestañas, e incluso páginas de inicio de navegadores. Algunas de estas extensiones cambian la fuente y la apariencia del navegador y muestran anuncios en pestañas adicionales, así como también cambian la página de nueva pestaña predeterminada a una página de inicio del motor de búsqueda comprometida. Estos también pueden actuar como redireccionadores a sitios web sospechosos o incluso rastrear los resultados de búsqueda de sus víctimas.

Figura 20: Anuncios insertados que aparecen en una página de búsqueda.
Figura 20: Anuncios insertados que aparecen en una página de búsqueda.

La Figura 21 muestra el manifiesto de una de estas extensiones. En este caso, utiliza «chrome_url_override» para reemplazar la nueva pestaña.

Figura 21: manifiesto.json
Figura 21: manifiesto.json

Después de esta modificación, una nueva pestaña muestra anuncios en la página de búsqueda como se mostró anteriormente en la Figura 20. Además, los íconos que se muestran en la nueva pestaña imitan los de aplicaciones legítimas como Google Maps para engañar a los usuarios para que hagan clic en ellos (Figura 22) .

Figura 22: Logo de Google Maps
Figura 22: Logo de Google Maps

Sin embargo, los iconos no utilizan ningún servicio legítimo. Están redirigiendo a un sitio web diseñado por el actor malicioso para aumentar las ganancias al exponer al usuario a más anuncios. Un ejemplo de esto se muestra en la Figura 23, en la que se muestra un mapa básico (redireccionado desde un ícono falso de Google Maps) pero con anuncios al lado.

Figura 23: Página de mapas con anuncios inyectados a la izquierda.
Figura 23: Página de mapas con anuncios inyectados a la izquierda.

Resumen

Los actores maliciosos seguirán utilizando formas novedosas de evadir las soluciones tradicionales de seguridad de escritorio y puerta de enlace para lograr objetivos motivados financieramente. Las extensiones del navegador se pueden instalar de la misma manera que las aplicaciones por parte de usuarios desprevenidos que buscan resolver problemas o agregar valor a su experiencia informática. Este panorama de amenazas en constante evolución indica la necesidad de una forma de detección más robusta e innovadora en lugar de incluir los IOC en la lista negra.

Los usuarios deben recibir capacitación sobre los riesgos asociados con las extensiones del navegador, especialmente cuando se cargan fuera de los repositorios oficiales, y las empresas deben considerar qué controles de seguridad tienen implementados para tales riesgos.

Mientras consideramos la evaluación de riesgos para aplicaciones en sistemas operativos tradicionales y modernos, las empresas deben considerar cómo evalúan y evalúan el riesgo asociado con amenazas nuevas y emergentes. Zimperium se compromete a ayudar a las empresas a evaluar y resolver problemas modernos de seguridad de terminales.

Acerca de Zimperium

Zimperium, el líder mundial en seguridad móvil, ofrece la única protección basada en aprendizaje automático, en el dispositivo y en tiempo real contra las amenazas de Android, iOS y Chromebook. Con la tecnología de z9, Zimperium brinda protección contra ataques a dispositivos, redes, phishing y aplicaciones maliciosas. Para obtener más información o para programar una demostración, contáctenos hoy.

Deja un comentario