La extensión, cuyo nombre es Interface Online, fue subida a la tienda hace 18 días y se dedica a monitorizar todas las conexiones realizadas con el navegador web, pudiendo hasta robar contraseñas de sitios concretos. Cuando el usuario visitaba uno de los sitios web programados en la extensión, esta se encargaba de activar una rutina creada con código JavaScript que registraba el nombre y la contraseña del usuario cuando eran introducidos en un formulario web. Una vez obtenidos los datos del usuario, estos eran subidos a un servidor controlado por los ciberdelincuentes.

La empresa malagueña Virus Total (propiedad de Google) ha mostrado que de momento solo una de las 57 soluciones de antimalware más usadas del mundo fueron capaces de detectar la extensión maliciosa. Una vez detectada y reportada por el investigador en seguridad brasileño Renato Marinho, jefe de investigación en Morphus Labs y voluntario en SANS Institute, Google la eliminó de la Chrome Web Store.

Producto-antimalware-que-han-detectado-Interface-Online-segun-Virus-Total

Interface Online fue subida a la Chrome Web Store el 31 de julio y fue descargada unas 30 veces. Luego desapareció y volvió a aparecer el miércoles de esta pasada para ser descargada otras 23 veces más. Sin embargo, tras ser reportada por Marinho, Google la eliminó de forma definitiva.

El bajo impacto de la extensión se debe al modo de proceder de los criminales. En vez de intentar infectar usuarios de forma indiscriminada, lo que hacían era llamar a empleados a cargo de las finanzas de las empresas (obteniendo su nombre a través de las redes sociales) para decirles que perderían los datos que manejaban si no instalaban un módulo de seguridad. Entonces la víctima recibiría un mensaje con un enlace hacia la extensión Interface Online y, una vez instalada, los atacantes invitaban a la víctima a iniciar sesión a través de los servicios usados por la empresa para la que trabaja.

Ante esta situación, Marinho ha recomendado a Google tomar medidas adicionales para evitar la difusión de extensiones maliciosas a través de la Chrome Web Store.

 

Fuente: ArsTechnica | muyseguridad