⛔️ El malware Néllthorn es un peligro para extensiones de Chrome

Tecnologíasallimite

Extensiones de Chrome

El malware Néllthorn es un peligro para extensiones de Chrome

Actualizado / 15 mayo, 2018

Extensiones de Chrome para criptomina en peligro por el Malware Nigelthorn Malware y roba datos

El 3 de mayo de 2018, el servicio de protección contra malware de Radware detectó una amenaza de malware  en uno de sus clientes, una empresa de fabricación global, mediante el uso de algoritmos de aprendizaje automático. Esta campaña de malware se está propagando a través de enlaces social en Facebook y está infectando a los usuarios al abusar de una de las Extensiones de Chrome (la aplicación ‘Nigelify’) que realiza robo de credenciales, cryptomining, fraude de clics y más.

Investigaciones adicionales del grupo de investigación de amenazas de Radware revelaron que este grupo ha estado activo desde al menos marzo de 2018 y ya ha infectado a más de 100.000 usuarios en más de 100 países. Las campañas de malware de Facebook no son nuevas. Entre los ejemplos de operaciones similares se incluyen facexworm y digimine, pero este grupo parece no haber sido detectado hasta ahora gracias a la campaña que constantemente cambia las aplicaciones y el uso de un mecanismo evasivo para propagar el malware.

Mejores extensiones rss y feed para chrome

Proceso de infección

Radware ha denominado al malware “Nigelthorn” desde que la aplicación original Nigelify reemplaza las imágenes por “Nigel Thornberry” y es responsable de una gran parte de las infecciones observadas. El malware redirige a las víctimas a una página de YouTube falsa y le pide al usuario que instale una extensión de Chrome para reproducir el video

Una vez que el usuario hace clic en “Agregar extensión”, la extensión maliciosa se instala y la máquina ahora es parte de la botnet. El malware depende de Chrome y se ejecuta tanto en Windows como en Linux. Es importante destacar que la campaña se centra en los navegadores Chrome y Radware cree que los usuarios que no usan Chrome no corren ningún riesgo.

Estadísticas de Botnet

Radware reunió las estadísticas de diversas fuentes, incluidas las estadísticas de extensiones de Chrome  maliciosas en la tienda web de Chrome y el servicio de acortamiento de URL Bitly. Una víctima que hace clic en “Agregar extensión” se redirige a una URL Bitly desde la que se redirigirá a Facebook. Esto se hace para engañar a los usuarios y recuperar el acceso a su cuenta de Facebook. Más del 75% de las infecciones cubren Filipinas, Venezuela y Ecuador. El 25% restante se distribuye en otros 97 países.

Pasar por alto las herramientas de validación de aplicaciones de Google

Los operadores de campaña crearon copias de extensiones legítimas e inyectaron un guión malicioso breve y ofuscado para iniciar la operación de malware.

Radware cree que esto se hace para eludir las comprobaciones de validación de extensiones de Google. Hasta la fecha, el grupo de investigación de Radware ha observado siete de estas extensiones maliciosas, de las cuales cuatro parecen haber sido identificadas y bloqueadas por los algoritmos de seguridad de Google. Nigelify y PwnerLike permanecen activos.

Extensiones conocidas

El Malware

Una vez que la extensión se instala en el navegador Chrome, se ejecuta un JavaScript malicioso (ver a continuación) que descarga la configuración inicial del C2.

Luego se despliega un conjunto de solicitudes, cada una con su propio propósito y disparadores. Aquí está el protocolo de comunicación.

Capacidades de Malware

Robo de datos

El malware se centra en robar las credenciales de inicio de sesión de Facebook y las cookies de Instagram. Si se inicia sesión en la máquina (o se encuentra una cookie de Instagram), se enviará al C2.

El usuario se redirige a una API de Facebook para generar un token de acceso que también se enviará al C2 si tiene éxito.

Propagación de Facebook

Los tokens de acceso de Facebook de los usuarios autenticados se generan y comienza la fase de propagación. El malware recopila información relevante de la cuenta con el propósito de propagar el enlace malicioso a la red del usuario. Se accede a la ruta C2 “/php3/doms.php” y devuelve un URI aleatorio. Por ejemplo:

Este enlace se distribuye de dos maneras: como un mensaje a través de Facebook Messenger o como una nueva publicación que incluye etiquetas para hasta 50 contactos. Una vez que la víctima hace clic en el enlace, el proceso de infección comienza de nuevo y los redirecciona a una página web similar a YouTube que requiere una “instalación de complemento” para ver el video.

Cryptomining

Otro complemento descargado por el malware es una herramienta cryptomining. Los atacantes están utilizando una herramienta de minería de navegador disponible públicamente para que las máquinas infectadas comiencen a extraer criptomonedas. El código JavaScript se descarga desde sitios externos que el grupo controla y contiene el grupo de minería de datos. Radware observó que en los últimos días el grupo estaba tratando de extraer tres monedas diferentes (Monero, Bytecoin y Electroneum) que están basadas en el algoritmo “CryptoNight” que permite la extracción a través de cualquier CPU.

Las piscinas que Radware ha visto son:
• supportxmr.com – 46uYXvbapq6USyzybSCQTHKqWrhjEk5XyLaA4RKhcgd3WNpHVXNxFFbXQYETJox6C5Qzu8yiaxeXkAaQVZEX2BdCKxThKWA
• eu.bytecoin-pool.org – 241yb51LFEuR4LVWXvLdFs4hGEuFXZEAY56RB11aS6LXXG1MEKAiW13J6xZd4NfiSyUg9rbERYpZ7NCk5rptBMFE5uZEinQ
• etn.nanopool.org – etnk7ivXzujEHf1qXYfNZiczo4ohA4Rz8Fv4Yfc8c5cU1SRYWHVry7Jfq6XnqP5EcL1LiehpE3UzD3MBfAxnJfvh3gksNp3suN

En el momento de escribir este informe, aproximadamente $ 1,000 se extrajeron durante seis días, la mayoría del grupo de Monero.

Persistencia

El malware utiliza numerosas técnicas para mantenerse persistente en la máquina y para garantizar que sus actividades en Facebook sean persistentes.

1. Si el usuario intenta abrir la pestaña de extensiones para eliminar la extensión, el malware la cierra y evita su eliminación.

2. El malware descarga URI Regex del C2 y bloquea a los usuarios que intentan acceder a esos patrones. Los siguientes enlaces demuestran cómo el malware intenta impedir el acceso a lo que parecen ser herramientas de limpieza de Facebook y Chrome e incluso evita que los usuarios editen, eliminen publicaciones y hagan comentarios.

• https://www.facebook.com/ajax/timeline/delete*
• https://www.facebook.com/privacy/selector/update/*
• https://www.facebook.com/react_composer/edit/init/*
• https://www.facebook.com/composer/edit/share/dialog/*
• https://www.facebook.com/react_composer/logging/ods/*
• https://www.facebook.com/ajax/bz
• https://www.facebook.com/si/sentry/display_time_block_appeal/?type=secure_account*
• https://www.facebook.com/ajax/mercury/delete_messages.php*
• https://www.facebook.com/ufi/edit/comment/*
• https://www.facebook.com/ufi/delete/comment/*
• https://www.facebook.com/checkpoint/flow*
• https://dl.google.com/*/chrome_cleanup_tool.exe*
• https://www.facebook.com/security/*/download*
• https: //*.fbcdn.net/*.exe*

Fraude de YouTube

Una vez que se descarga y se ejecuta el complemento de YouTube, el malware intenta acceder al URI “/php3/youtube.php” en el C2 para recibir comandos. Las instrucciones recuperadas pueden ser para mirar, dar me gusta o comentar un video o suscribirse a la página. Radware cree que el grupo está tratando de recibir pagos de YouTube, aunque no hemos visto ningún video con alta cantidad de reproducciones. Un ejemplo de una instrucción del C2:

{
“result”: [
{“id”: “5SSGxMAcp00”,
“type”: “watch”,
“name”: “Sanars\u0131n animasyon yap\u0131lm\u0131\u015f | Da\u011f k\u0131za\u011f\u0131 ANKARA”,
“time”: “07.05.2018 17:16:30 “},
{
“id”: “AuLgjMEMCzA”,
“start”: “47”,
“finish”: 1547,
“type”: “like”,
“name”: “DJI phantom 3 sahil”,
“time”: “07.05.2018 17:19:38 ”
},
{
“id”: “AuLgjMEMCzA”,
“type”: “watch”,
“name”: “DJI phantom 3 sahil”,
“time”: “07.05.2018 17:30:25 ”
}
]
}

Protección de malware

El malware de día aprovecha sofisticadas técnicas de evasión que a menudo pasan por alto las protecciones existentes que los grupos calificados estudian. Nigelify, que Radware identificó en una red bien protegida, no ha sido detectada a pesar de varias soluciones de seguridad. Los algoritmos de aprendizaje automático de Radware han analizado los registros de comunicación de esa gran organización, relacionando múltiples indicadores y bloqueando el acceso C2 de las máquinas infectadas. El servicio de protección contra malware Malware de Radware ofrece varias capacidades.

• Detectar nuevo malware de día cero utilizando algoritmos de aprendizaje automático
• Bloquee nuevas amenazas integrándose con los mecanismos de protección existentes y las capas de defensa
• Informe sobre intentos de infección de malware en la red de su organización
• Auditar defensas contra nuevos exploits e identificar vulnerabilidades

A medida que este malware se propague, el grupo continuará intentando identificar nuevas formas de utilizar los activos robados. Dichos grupos continuamente crean nuevos malware y mutaciones para eludir los controles de seguridad. Radware recomienda que las personas y las organizaciones actualicen su contraseña actual y solo descarguen aplicaciones de fuentes confiables.

Via/radware

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.