Una extensión “Man-in-the-middle” para Chrome

Las extensiones para navegador nos facilitan la vida: ocultan anuncios molestos, traducen textos, ayudan en las compras en línea, etc. También hay algunas que son indeseables: las que nos muestran publicidad o recopilan información sobre nuestras acciones. Pero hasta éstas parecen inofensivas si se las compara con aquellas cuyo fin es robar dinero. En Kaspersky, para proteger a nuestros clientes, procesamos automáticamente muchos tipos de extensiones provenientes de diversas fuentes. Por ejemplo, descargamos extensiones sospechosas de la tienda Chrome Web y las sometemos a análisis. Hace poco descubrimos una que se conectaba a un dominio sospechoso, lo que nos puso en guardia.
La extensión denominada “Desbloquear Conteúdo” (del portugués “Desbloquear contenido”) para Google Chrome, estaba destinada a los usuarios brasileños de banca en línea. Llegamos a esta conclusión porque todos los intentos de instalación que registramos ocurrieron en Brasil. La tarea de este malware es recopilar los datos de autenticación de las víctimas (por ejemplo, nombres de usuario y contraseñas) para robarles dinero. Los productos de Kaspersky Lab detectan esta extensión como HEUR:Trojan-Banker.Script.Generic.


Geografía de detecciones del script fundo.js, uno de los componentes de la extensión

Al momento de esta publicación, la extensión maliciosa ya se había eliminado de Chrome Web Store.

Análisis de la extensión maliciosa

Las extensiones maliciosas para navegadores suelen emplear diferentes técnicas para burlar la detección antivirus (por ejemplo, técnicas de enmarañamiento u ofuscación). Los desarrolladores de la extensión investigada decidieron no ofuscar su código fuente y eligieron otra vía. Para recibir y transmitir datos el malware utiliza el protocolo WebSocket, que permite intercambiar mensajes con el servidor de administración en tiempo real. De esta manera, el servidor administrador desempeña el papel de servidor proxy; cuando la víctima se encuentra en la página de algún banco brasileño, la extensión redirige el tráfico a este servidor proxy. Y de hecho, la extensión lleva a cabo un ataque Man-in-The-Middle.
La extensión “Desbloquear Conteúdo” se compone de dos scripts JS, que a continuación analizamos en detalle.