América Latina se ha visto afectada por Ciberataques que utilizan extensiones maliciosas de Google Chrome. Los atacantes apuntaron a instituciones financieras, sitios de reserva, y mensajería instantánea. El malware utilizado en estos ataques fue denominado Predasus.
El malware Predasus apunta a navegadores basados en Chromium en América Latina
Los analistas de amenazas han descubierto un nuevo malware llamado «Predaso». Los atacantes utilizan este malware insertar código dañino a través de una extensión de Chrome y emplear este método para atacar varios sitios, incluyendo la versión web de WhatsApp. Los atacantes ingresan y explotan los sitios web objetivo a través de canales legítimos para implementar malware Predasus., permitiéndoles robar usuarios’ datos confidenciales y financieros. Predasus participa en varias actividades maliciosas, como obtener información confidencial como detalles de inicio de sesión, Datos financieros, e información personal.
Cadena de infección Predasus
Las extensiones del navegador pueden infectar su dispositivo de varias maneras. Ellos explotar las vulnerabilidades del navegador o del sistema operativo, incluyendo ingeniería social, para engañar a los usuarios para que los descarguen. El escenario es clásico. – un usuario abre un archivo adjunto de correo electrónico, un PDF, Palabra, o archivo Excel. El archivo adjunto contiene malware que infecta sigilosamente la computadora del usuario y se implementa automáticamente una vez descargado.. Luego, el malware se conecta al primer comando y control. (C&C) servidor y descarga varios archivos escritos en una carpeta llamada «extensión_cromo» en el %DATOS DE APLICACIÓN% carpeta. Finaliza cualquier proceso asociado con Google Chrome y crea archivos .LNK maliciosos en varias ubicaciones., reemplazando a los legítimos. Además, la extensión gana algunos permisos:
- «pestañas»: Permite que la extensión acceda y modifique las pestañas del navegador y su contenido..
- «fondo»: Permite que la extensión se ejecute en segundo plano., incluso cuando la ventana emergente de la extensión está cerrada.
- «almacenamiento»: Permite que la extensión almacene y recupere datos del almacenamiento local del navegador..
- «alarmas»: Permite que la extensión programe tareas o recordatorios en momentos específicos.
- «galletas»: Permite a la extensión acceder y modificar las cookies de cualquier sitio web que visite el usuario..
- «inactivo»: Permite que la extensión detecte cuando el sistema del usuario está inactivo (es decir., no ser utilizado activamente).
- «solicitud web»: Permite que la extensión monitoree, bloquear, o modificar las solicitudes de red realizadas por el navegador.
- «webRequestBloqueo»: Permite que la extensión bloquee las solicitudes de red realizadas por el navegador..
- «pantalla.sistema»: Permite que la extensión detecte y ajuste la configuración de visualización en el sistema del usuario.
- «http://*/*»: Permite que la extensión acceda a cualquier sitio web HTTP.
- «https://*/*»: Permite que la extensión acceda a cualquier sitio web HTTPS.
- «navegaciónDatos»: Permite que la extensión borre los datos de navegación del usuario. (como historial y caché) para sitios web específicos.
Algunos de estos permisos suponen un riesgo porque permiten que una extensión acceda o modifique datos confidenciales del usuario..
¿Qué datos están en riesgo??
Según el laboratorio de seguridad de IBM, Predasus ha sido visto en muchas actividades maliciosas., incluido modificar el comportamiento del navegador y robar información confidencial datos como credenciales de inicio de sesión, información financiera, y datos personales. Además, este ataque utiliza whatsapp web. Dado que WhatsApp es popular en algunos países como Brasil, México, y la india, los atacantes pueden obtener suficiente información potencialmente valiosa. Usando un sitio de pago de phishing, Los estafadores roban información de pago de la víctima con el pretexto de pagar una suscripción.. Además, el sitio de phishing solicita un código de confirmación que la víctima recibió vía mensaje de texto. De este modo, Los estafadores acceden a la cuenta bancaria de la víctima.. Por último, Los atacantes venden los datos obtenidos en la Darknet..
Consejos de seguridad
Para evitar consecuencias desagradables., debes ser ciberhigiénico y cuidar lo que instalas. Los piratas informáticos siempre buscan nuevas formas de propagación de malware, y tu atención puede repeler eficazmente todos sus intentos..
- Tenga cuidado con los correos electrónicos que recibe. Este consejo se repite una y otra vez., mientras los piratas informáticos siguen utilizando correos electrónicos falsificados para difundir malware. Tema extraño, remitente desconocido, errores tipográficos – Todas esas cosas deberían levantar sospechas..
- Descargue solo extensiones de las que esté seguro. Incluso usar Chrome Web Store como fuente no significa que estés seguro. Los piratas informáticos tienen sus formas de cargar complementos maliciosos incluso en este mercado – dejar de lado las fuentes de terceros.
- Usar Autenticación de dos factores y actualice periódicamente su navegador y sus extensiones para mantenerse seguro.
- Utilice un software antimalware eficaz. Cuando se trata de protegerse de ataques de malware de diferentes vectores, es bastante fácil olerlo en algún momento. Para evitar problemas, una opción de protección de respaldo es esencial. GridinSoft Anti-Malware puede ofrecerle una gran protección, tanto reactivo como proactivo.
El aumento de extensiones dañinas de Chrome preocupa y enfatiza la importancia de tener precaución al navegar por la web. Existe la preocupación de que esta campaña de malware pueda extenderse a América del Norte y Europa..