El malware Nigelthorn usa Facebook para extenderse

Uno de los modus operandi más comunes de los
ciberdelincuentes para propagar malware consiste en atraer a los usuarios en
las redes sociales para que visiten versiones parecidas de sitios web populares
que muestran una ventana de instalación de extensiones de Chrome de aspecto
legítimo.

Los investigadores de seguridad nuevamente están advirtiendo
a los usuarios de una nueva campaña de malware que ha estado activa desde al
menos marzo de este año y que ya ha infectado a más de 100.000 usuarios en todo
el mundo.

Apodado Nigelthorn, el malware se está extendiendo
rápidamente a través de enlaces de ingeniería social en Facebook e infectando
los sistemas de las víctimas con extensiones de navegador maliciosas que roban
sus credenciales de redes sociales, instalan mineros de criptomonedas y los
involucran en el fraude de clics (el fraude de clic es la práctica de inflar
artificialmente las estadísticas de tráfico para defraudar a los anunciantes o
sitios web que proporcionan espacios para anunciantes).

El malware se envió a través de al menos siete extensiones
diferentes del navegador Chrome; todas se alojaron en la Chrome Web Store
oficial de Google.

Estas extensiones maliciosas del navegador Chrome fueron
descubiertas por primera vez por investigadores de la firma de ciberseguridad
Radware, luego de que una «red bien protegida» de uno de sus
clientes, una empresa de fabricación global sin nombre, se viera afectada.

Según un informe publicado por Radware, los operadores de
malware están utilizando copias de extensiones legítimas de Google Chrome e
inyectando un pequeño script oculto en ellos para eludir las comprobaciones de
validación de extensiones de Google.

Los investigadores llamaron al malware
«Nigelthorn» por una de las extensiones maliciosas que era la copia
de la popular extensión ‘Nigelify’ diseñada para reemplazar todas las imágenes
de una página web con gifs de ‘Nigel Thornberry’.

El nuevo malware principalmente se centra en robar
credenciales para las cuentas de Facebook e Instagram de las víctimas y
recolectar detalles de sus cuentas de Facebook.

Esta información robada se utiliza para enviar enlaces
maliciosos a los amigos de la persona infectada, en un esfuerzo por impulsar
aún más las mismas extensiones maliciosas. Si alguno de esos amigos hace clic
en el enlace, todo el proceso de infección comienza de nuevo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity