17 extensiones en Firefox ocultan malware en sus iconos

Iniciado por AXCESS, Diciembre 16, 2025, 05:56:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 16, 2025, 05:56:36 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad de Koi Security descubrieron 17 extensiones de Firefox que no contenían scripts maliciosos visibles y parecían inofensivas, ofreciendo a los usuarios funciones como VPN gratuita, captura de pantalla, transiciones en vivo, pronósticos meteorológicos, descarga de archivos, bloqueo de anuncios, modo oscuro y otras características.

Sin embargo, un vistazo a sus iconos reveló las verdaderas intenciones de los desarrolladores.

"Cada extensión tiene un logotipo. Una pequeña imagen en la barra de herramientas, un símbolo visual de confianza", explica el informe sobre los iconos PNG infectados.

Normalmente, las extensiones leen el archivo, lo muestran al usuario y listo. Sin embargo, los investigadores de Koi descubrieron que algunas extensiones dedicaban más tiempo a los iconos, analizando los bytes sin procesar. Los iconos contenían cargadores de malware ocultos.

"Encontramos una rutina de extracción oculta. La extensión no solo mostraba el logotipo, sino que también buscaba en los datos de la imagen un marcador que no debería estar allí", afirmaron los investigadores.

Los atacantes editaron los archivos PNG de los iconos de forma que, después de los datos de la imagen, comenzaba el código malicioso, separado por un marcador de tres signos de igual ("==="). Para el usuario, el icono seguía pareciendo normal, pero para los atacantes, esto les permitía eludir los escáneres de seguridad que examinan el código de las extensiones. Esta técnica se conoce como esteganografía.

"Todo lo que aparece después de ese marcador no son datos de imagen. Es código JavaScript, oculto a simple vista."
Los hackers roban comisiones de compra, miles de usuarios afectados

La campaña, que abarca al menos 17 extensiones, ya ha acumulado más de 50.000 descargas y sigue activa. Una extensión llamada Free VPN Forever fue la que tuvo más instalaciones, con 16.000.



Una vez instalado el complemento malicioso, comienza una cadena de infección de varias etapas.

El icono solo contiene un cargador para el malware propiamente dicho. Una vez que la extensión se carga, también extrae el código oculto.

Para pasar desapercibido, el cargador utiliza un comportamiento irregular. Espera deliberadamente 48 horas entre las comunicaciones con los servidores controlados por los atacantes e infecta aleatoriamente solo al 10% de los usuarios.

Los atacantes cifran las cargas útiles utilizando algoritmos de cifrado personalizados, una combinación de intercambio de letras y números, además de codificación Base64.

En definitiva, los usuarios son infectados con un conjunto completo de herramientas para monetizar su comportamiento sin su conocimiento.

"Lo que realmente instalan es un programa malicioso de varias etapas que monitoriza todo lo que navegas, elimina las protecciones de seguridad del navegador y abre una puerta trasera para la ejecución remota de código", afirmaron los investigadores de Koi.

El malware analizado interceptaba los enlaces de afiliados y redirigía las comisiones por compras en plataformas importantes, como Taobao o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, hacia los operadores del malware. Además, utilizaba inyecciones de iframes ocultos para cargar contenido desde servidores controlados por los atacantes, probablemente para fraude publicitario, fraude de clics y seguimiento.

Las extensiones maliciosas también creaban perfiles de los usuarios mediante rastreadores ocultos, comprometían la seguridad del navegador eliminando las cabeceras de seguridad de las respuestas HTTP e incluían varios métodos para eludir las comprobaciones CAPTCHA.

Todas las extensiones detectadas utilizaban la misma infraestructura de mando y control, pero diferían en sus mecanismos de inyección, lo que sugiere que los atacantes probablemente estaban probando diversas técnicas.

La actividad maliciosa no se limita a lo observado, ya que el actor de la amenaza puede modificar las cargas útiles en cualquier momento. Las extensiones mantienen una conexión persistente con los servidores controlados por el atacante, a la espera de instrucciones.

"Las VPN gratuitas prometen privacidad, pero nada es gratis en la vida. Una y otra vez, lo que ofrecen es vigilancia", advierten los investigadores.

Koi insta a los usuarios a tener cuidado con las extensiones maliciosas, ya que la mayoría de ellas aún están disponibles en el mercado de complementos de Firefox.

•   free-vpn-forever

•   screenshot-saved-easy

•   weather-best-forecast

•   crxmouse-gesture

•   cache-fast-site-loader
 
•   freemp3downloader

•   google-translate-right-clicks
 
•   google-traductor-esp

•   world-wide-vpn

•   dark-reader-for-ff

•   translator-gbbd
 
•   i-like-weather

•   google-translate-pro-extension
 
•   谷歌-翻译

•   libretv-watch-free-videos
 
•   ad-stop

•   right-click-google-translate

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario