viernes, 18 de mayo de 2018

El malware Nigelthorn usa Facebook para extenderse


Uno de los modus operandi más comunes de los ciberdelincuentes para propagar malware consiste en atraer a los usuarios en las redes sociales para que visiten versiones parecidas de sitios web populares que muestran una ventana de instalación de extensiones de Chrome de aspecto legítimo.

Los investigadores de seguridad nuevamente están advirtiendo a los usuarios de una nueva campaña de malware que ha estado activa desde al menos marzo de este año y que ya ha infectado a más de 100.000 usuarios en todo el mundo.

Apodado Nigelthorn, el malware se está extendiendo rápidamente a través de enlaces de ingeniería social en Facebook e infectando los sistemas de las víctimas con extensiones de navegador maliciosas que roban sus credenciales de redes sociales, instalan mineros de criptomonedas y los involucran en el fraude de clics (el fraude de clic es la práctica de inflar artificialmente las estadísticas de tráfico para defraudar a los anunciantes o sitios web que proporcionan espacios para anunciantes). 

El malware se envió a través de al menos siete extensiones diferentes del navegador Chrome; todas se alojaron en la Chrome Web Store oficial de Google.

Estas extensiones maliciosas del navegador Chrome fueron descubiertas por primera vez por investigadores de la firma de ciberseguridad Radware, luego de que una "red bien protegida" de uno de sus clientes, una empresa de fabricación global sin nombre, se viera afectada.

Según un informe publicado por Radware, los operadores de malware están utilizando copias de extensiones legítimas de Google Chrome e inyectando un pequeño script oculto en ellos para eludir las comprobaciones de validación de extensiones de Google.

Los investigadores llamaron al malware "Nigelthorn" por una de las extensiones maliciosas que era la copia de la popular extensión 'Nigelify' diseñada para reemplazar todas las imágenes de una página web con gifs de 'Nigel Thornberry'.

El nuevo malware principalmente se centra en robar credenciales para las cuentas de Facebook e Instagram de las víctimas y recolectar detalles de sus cuentas de Facebook.

Esta información robada se utiliza para enviar enlaces maliciosos a los amigos de la persona infectada, en un esfuerzo por impulsar aún más las mismas extensiones maliciosas. Si alguno de esos amigos hace clic en el enlace, todo el proceso de infección comienza de nuevo.

No hay comentarios:

Publicar un comentario