Extensión maliciosa Chrome dedicada a robar datos bancarios

08/06/2018

Hallada una extensión maliciosa para Chrome que se dedicaba a robar datos bancarios

 Descripción

Los expertos de Kaspersky Lab han descubierto una extensión maliciosa en la Chrome Web Store que ha impactado casi totalmente en Brasil. De hecho, parece ser que iba dirigido a los usuarios del país latinoamericano, ya que su nombre estaba en portugués.

Desbloquear Conteúdo, extensión maliciosa descubierta en la Chrome Web Store

 

De nombre “Desbloquear Conteúdo” (desbloquear contenido), básicamente lo que hacía era un ataque de tipo man-in-the-middle que se ejecutaba cuando el usuario infectado visitaba sus cuentas bancarias mediante la interfaz web y usando Chrome (obviamente, en caso de cambiar a Firefox el ataque no se llevaría a cabo), con la intención de robar las credenciales mediante un JavaScript malicioso que redirigía el tráfico a través de un proxy hacia un servidor perteneciente a los cibercriminales, que luego examinaban si lo recolectado les interesaba o no.

Además de los datos bancarios, también contenía scripts diseñados para extraer información introducida vía online por los usuarios. el malware empleaba una superposición que coincidía perfectamente con la página web del banco para reemplazar los campos de inicio de sesión, contraseña y código de confirmación de una sola vez. Al presionar el botón de enviar, el malware copiaba los datos.

Productos afectados

Google Chrome

Solución

 

Cuando se instalan extensiones, es recomendable supervisar los permisos que solicita. Si uno de ellos es “leer y cambiar todo los datos de las páginas visitadas”, lo recomendable sería no instalarlo, ya que podría tratarse de un malware como el que nos ocupa en esta entrada, además de ser por sí mismo un permiso demasiado poderoso como para concederlo.

 

https://www.muyseguridad.net/2018/06/08/extension-maliciosa-chrome-robar-datos-bancarios/

Fuente: Kaspersky Lab

Ante cualquier duda o aclaración comunícate con el CSIRT a las extensiones 11505, 11532 y 11564 o al correo csirt@uv.mx