Hemos visto una gran cantidad de ejemplos de extensiones maliciosas del navegador Google Chrome que son utilizadas para robar información privada de los usuarios.
A principios de este mes, informamos sobre el malware Facexworm, descubierto por la firma Trend Micro, que utilizaba mensajes falsos a través de la aplicación Messenger para robar contraseñas y criptomonedas.
Ahora, la empresa de seguridad informática Radware ha revelado 7 extensiones de Google Chrome que permanecían en la tienda oficial del navegador, y que ocultan el malware Nigelthorn. Estas extensiones fueron utilizadas para robar contraseñas y minar criptomonedas desde la PC de los usuarios.
A través de algoritmos de aprendizaje automático ejecutados desde la red informática de uno de los clientes de la empresa de seguridad, se logró detectar el malware, que ha estado activo desde marzo pasado y ha afectado a cerca de 100,000 usuarios de 100 países.
El funcionamiento de Nigelthorn es sencillo, debido a que los hackers llegan a los usuarios a través de anuncios en Facebook. Luego de esto redirige a las víctimas a sitios web falsos de YouTube donde se muestra un mensaje que les solicita que instalen una extensión de Google Chrome que será necesaria para reproducir el video.
Luego, cuando el usuario hace clic sobre la opción de agregar la extensión, ésta logra instalarse e introduce al usuario en una botnet. Mientras esto ocurre, un código de JavaScript es ejecutado en la instalación y descarga malware adicional.
Por su parte, las extensiones utilizadas por los hackers eran copias casi idénticas de otras favoritas de los usuarios de Chrome. Algunas de estas extensiones son Nigelificar, Alt-j, PwnerLike, entre otras, que robaron los datos de los perfiles de Facebook de los usuarios y minaron criptomonedas como Monero a partir de su hardware.
Con el fin de evitar ser detectados, los hackers incorporaron medidas de protección que impidieron desplegar herramientas de software informático para limpiar el navegador o Facebook.
