A lo largo de 2024, ha surgido una tendencia inquietante a medida que los piratas informáticos explotan los anuncios de Facebook para distribuir extensiones falsas de Chrome haciéndose pasar por administradores de contraseñas legítimos como Bitwarden. Esta sofisticada campaña de publicidad maliciosa se aprovecha del temor de los usuarios a las amenazas cibernéticas y los engaña para que descarguen software malicioso.
Los piratas informáticos explotan los anuncios de Facebook para distribuir extensiones falsas de Chrome
Bitdefender Labs ha seguido de cerca estas campañas y reveló que la última operación se lanzó el 3 de noviembre de 2024. Dirigidos a usuarios de entre 18 y 65 años en toda Europa, los atacantes crean una sensación de urgencia al afirmar que los usuarios deben instalar una actualización de seguridad crítica. Al hacerse pasar por una marca confiable, aprovechan efectivamente la plataforma publicitaria de Facebook para ganarse la confianza de los usuarios.
El proceso engañoso comienza cuando los usuarios encuentran un anuncio de Facebook que les advierte que sus contraseñas están en riesgo. Al hacer clic en el anuncio, se les dirige a una página web fraudulenta diseñada para imitar la Chrome Web Store oficial. Sin embargo, en lugar de realizar una descarga segura, los usuarios son redirigidos a un enlace de Google Drive que aloja un archivo ZIP que contiene la extensión dañina. Para instalarlo, los usuarios deben seguir un proceso detallado que implica habilitar el modo de desarrollador en su navegador y descargar la extensión, un método que elude los protocolos de seguridad estándar.
Cómo funciona la extensión falsa de Bitwarden
Una vez instalada la extensión maliciosa, solicita amplios permisos que le permiten interceptar y manipular la actividad del usuario en línea. Como se describe en el archivo de manifiesto de la extensión, opera en todos los sitios web y puede acceder al almacenamiento, las cookies y las solicitudes de red. Esto proporciona a los piratas informáticos acceso completo a información confidencial. Por ejemplo, los permisos incluyen:
- contextoMenús
- almacenamiento
- galletas
- cortina a la italiana
- declarativaNetRequest
El script en segundo plano de la extensión inicia una serie de actividades dañinas tan pronto como se instala. Comprueba de forma rutinaria las cookies de Facebook y recupera datos vitales del usuario, incluidos identificadores personales e información de pago asociada con las cuentas publicitarias de Facebook. La sensibilidad de los datos robados puede tener graves repercusiones, incluido el robo de identidad y el acceso no autorizado a cuentas financieras.
Hackea a Microsoft y gana 4 millones de dólares con Zero Day Quest
El uso de plataformas legítimas como Facebook y Google Drive oscurece la verdadera naturaleza del malware. Los expertos en seguridad recomiendan varias estrategias para mitigar los riesgos asociados con esta amenaza:
- Verifique las actualizaciones de las extensiones a través de las tiendas oficiales del navegador en lugar de hacer clic en los anuncios.
- Tenga cuidado con los anuncios patrocinados, especialmente aquellos que solicitan actualizaciones inmediatas para las herramientas de seguridad.
- Revise críticamente los permisos de la extensión antes de la instalación.
- Utilice funciones de seguridad, como desactivar el modo de desarrollador cuando no esté en uso.
- Informe rápidamente los anuncios sospechosos a las plataformas de redes sociales.
- Implemente una solución de seguridad confiable que detecte y bloquee intentos de phishing y extensiones no autorizadas.
Bitdefender ofrece una herramienta llamada Scamio, que ayuda a los usuarios a identificar contenido malicioso en línea. Evalúa enlaces, mensajes y otras interacciones digitales para resaltar posibles estafas, brindando a los usuarios una capa adicional de defensa.
Crédito de la imagen destacada: Soumil Kumar/Unsplash
