Extensiones maliciosas en Google Chrome

Google Chrome es uno de los buscadores mas usados. La popularidad de este navegador puede ¡ver como ha ido aumentado consultando estadísticas de Stat Counter, por ejemplo. En el siguiente gráfico se muestra el uso del último año, siendo Internet Explorer y Google Chrome los navegadores mas usados.

statcounter

Los criminales focalizan sus esfuerzos en aquellos servicios o ámbitos, esto no es pura casualidad si no que, intentan poder llegar a infectar el mayor número de usuarios posibles.

El caso de hoy se trata sobre un caso de extensión maliciosa para Google Chrome, que además se propaga ayudado por una de las redes sociales mas populares, Facebook.

Para los no-iniciados en la red social, cuando en una publicación por parte de un usuario te mencionan, te llega una notificación por correo para avisarte de la publicación.

Me encontré con una publicación en la que aparecían muchos nombres de usuario de Facebook junto a  una URL. Como esto era raro, fui al perfil de quien había realizado esa publicación y me encontré con el mismo patrón de publicaciones pero con diferentes nombres de usuario a la misma URL.

Se trataba claramente de un caso de malware. El dominio era un .TK, es el dominio de nivel superior geográfico (ccTLD) para el archipiélago neozelandés de Tokelau.

Antes de acceder al dominio, quise ver que había detrás, con Curl, podía obtener mas información:

darkmac:~ marc$ curl -I dominio.tk
HTTP/1.1 301 Moved Permanently
Date: Tue, 05 Feb 2013 22:06:32 GMT
Server: LiteSpeed
Connection: Keep-Alive
Keep-Alive: timeout=5, max=100
Location: http://zeroXXX.com

El dominio .TK realmente te volvía a dirigir hacia otro dominio, en este caso un .com, podemos ver este valor en el Location, podemos intentar obtener mas información realizando un whois, con esto podríamos encontrar dominios relacionados, por ejemplo.


Registrant Contact Details:
PrivacyProtect.org
Domain Admin ([email protected])
ID#10760, PO Box 16
Note – All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
Queensland,QLD 4218
AU
Tel. +45.36946676

El dominio, tiene un whois privado, por lo que no podremos extraer mas información.

Aunque el dominio contenga un whois privado no quiere decir que sea malicioso, además en este caso el dominio no se encontraba en ninguna blacklist.

Una vez que tenía la información del dominio al que apuntaba comprobé que había en ese dominio.

Con el uso de wget, podíamos tener mas información de que había en ese dominio, para ver si hay otro Location que cargue un Exploit Kit, así que lanzo wget sobre el dominio http://zeroXXX.com, lo que encontramos es:

darkmac:Desktop marc$ more index.html
<’U+FEFF’><’meta HTTP-EQUIV=”REFRESH” content=”0; url=http://www.zeroXXXX.com/chrome.php”‘>

El index del dominio nos redirige a un PHP.

Archivo chrome.php

La web tenía el siguiente aspecto:

face1

En este PHP si miramos el código fuente encontramos ciertas cosas interesantes. La primera de todas es que detecta si el navegador con el que accedemos es Chrome o no.

face2

Si veis la imagen, hay un enlace hacia el Market de aplicaciones de Chrome, pero eso lo dejaremos para mas adelante.
Otra de las cosas que podemos encontrar en el código fuente, es lo siguiente:

face3

Si no hacemos clic en el video, abajo aparece una imagen de Flash Player, en la que da la sensación de que no está instalado y en realidad a lo que te lleva es a la función de la imagen anterior, que te invita a instalar la extensión.
En el servidor no solo había ese PHP, probando diferentes combinaciones podías encontrar otro PHP.
El aspecto de la web era el siguiente:

face4

La página es turca, y te incita a que si quieres poder llegar a ver el video instales una extensión para Chrome, igual que pasaba con el caso anterior.
En el caso del código fuente es el mismo, que en la página anterior.

Extensión de Chrome

La extensión estaba colgada en el Market de Chrome

face5

La extensión tendrá acceso a:

  • Todos los datos de los sitios web
  • Datos copiados y pegados
  • Valores de configuración
  • Historial de navegación
  • Lista de aplicaciones
  • Pestaña y actividad de navegación

Antes de instalar la extensión fui a ver si había alguna opinión sobre la extensión:

face6

Vaya! Parece que algún usuario ya se ha quejado de que a extensión es maliciosa. Igualmente como quería saber como funcionaba instalé la extensión en un navegador en un entorno controlado.
Al instalar la extensión abrí un navegador para ver como se comportaba la extensión.
Fui capturando el tráfico y pude ver peticiones a un HOST que hasta ahora no había visto.

face7

Para ver que hace realmente habría que analizar la extensión en si. Como la hemos instalado, la podemos ir a buscar al disco duro y analizarla.
Lo mas destacable de la extensión es una petición GET a un PHP con un número aleatorio.

face8

Las peticiones era del tipo

GET/
http://www.zerXXX.com/user.php.0292282229292

El número era generado de forma aleatoria, así que con wget, volví a descargarme ese user.php, para ver que había realmente en ese archivo.

Vamos a parar aquí, ya que aún queda mucho por ver, ya que mas adelante veremos como no solo se aprovecha de Facebook, sino que también “ataca” a otros servicios.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Andres

    Todo es facebook, menos mal no uso esa vaina, no me gusta y me parece una perdera de tiempo ya que emboba la mente humana.

  • alvares

    Yo tambien considero que facebook te hace estupido , pero no creo que esa empreza esta detras de todo esto

  • BladeH

    Bueno el articulo, esperando la continuacion

  • Pingback: Lo mejor del 2013()

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES