Siempre es importante tener cuidado con las extensiones que instalamos en nuestros dispositivos, ya que en caso de no ser de fiar pueden utilizarse para fines muy distintos a los promocionados. El problema es que ni siquiera teniendo cuidado estamos libres de peligro, ya que las extensiones en las que siempre hemos confiado pueden convertirse en una amenaza de seguridad si la empresa responsable sufre un ataque.
Esto es justo lo que le ha ocurrido a Cyberhaven, una empresa de ciberseguridad de Estados Unidos que cuenta con una extensión para Google Chrome. Tal y como la propia compañía confirmó en un comunicado publicado en su web oficial, el día de Nochebuena sufrieron un ciberataque que comprometió el acceso a la tienda de Google Chrome y acabó con la publicación de una versión maliciosa de su extensión.
El objetivo de los atacantes es hacerse con el control de las cuentas de Facebook de las víctimas
El equipo de Cyberhaven detectó la amenaza y logró eliminar la versión maliciosa de la extensión en tan solo sesenta minutos desde su detección. Al parecer, el ataque forma parte de una campaña más grande que ha afectado a un total de 35 extensiones hasta el momento, según informan desde el medio especializado Bleeping Computer.
Tal y como la propia compañía detalla en el análisis preliminar de lo ocurrido, los atacantes lograron hacerse con el control de la cuenta de la compañía mediante un ataque de phishing: los ciberdelincuentes enviaron un correo electrónico a la cuenta de soporte de la empresa informando de un problema con la extensión que podía acabar con la eliminación de la extensión de la Chrome Web Store.
Cyberhaven ha compartido varias capturas de pantalla del correo fraudulento y de la página a la que accedieron tras hacer clic en el enlace incluido en el email. Algo que llama la atención es que el email dista mucho de alguno de los ejemplos de mensajes de este tipo a los que estamos acostumbrados: no tiene faltas de ortografía y pasa totalmente por un correo legítimo de Google.
Imagen | Cyberhaven
En el email en cuestión se indicaba que había un problema relacionado con la política de Google e incluía un enlace para solucionarlo. El problema es que al acceder a dicho enlace se otorgaba acceso a la cuenta a los ciberdelincuentes, que más tarde poco después publicaron una versión modificada de la extensión con código malicioso.
Según la compañía, el objetivo de los ciberdelincuentes era hacerse con el control de las cuentas corporativas de Facebook de las víctimas. Si el usuario de la extensión en cuestión había iniciado sesión en Facebook y accedía a la web de la plataforma, el código lograba hacerse con el token de acceso, ID del usuario e información de la cuenta, datos que se enviaban al servidor de los atacantes. La compañía explica que la versión maliciosa de su extensión es la 24.10.4, aunque ya no está disponible para su descarga.
Imagen de portada | Image Creator de Microsoft Designer
En Xataka Android | Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil
Ver 1 comentarios