Droidclub: una botnet que explota extensiones maliciosas de Chrome

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

El equipo de Trend Micro Cyber Safety Solutions ha descubierto una nueva botnet que se expande a través de extensiones de Chrome y que afecta a cientos de miles de usuarios. Bautizada como Droidclub, esta botnet se ha usado para inyectar anuncios y código de minería de criptomonedas en los sitios web que la víctima visitaba.

Además de las funciones citadas, Droidclub también abusa de las bibliotecas legítimas de reproducción de sesiones para violar la privacidad del usuario. Estos scripts se inyectan en cada sitio web que visita el usuario. Estas bibliotecas están destinadas a ser usadas para reproducir una visita de un usuario a un sitio web, de modo que el propietario del sitio pueda ver lo que el usuario vio y lo que ingresó en la máquina, entre otras cosas.

Droidclub se distribuye a través de una combinación de malvertising e ingeniería social. Los anuncios maliciosos se usarían para mostrar mensajes de error falsos que piden a los usuarios que descarguen una extensión en su navegador. Si las personas hacen clic en Aceptar, el navegador Chrome descargará la extensión de la tienda web de Chrome en segundo plano. A continuación, le pregunta al usuario si desea continuar e instalar la extensión, al tiempo que enumera los privilegios necesarios de la extensión.

El atacante detrás de Droidclub puede estar usando esta botnet para aumentar artificialmente las impresiones de ciertos anuncios, dando lugar a un aumento de las vistas y los ingresos. Droidclub también puede modificar el contenido de los sitios web visitados. La extensión actualmente está inyectando varias piezas de código Javascript, una de las cuales modifica estas páginas al agregar enlaces externos a ciertas palabras clave. Estos enlaces también van a anuncios.

Se han encontrado un total de 89 extensiones de Droidclub en la tienda web oficial de Chrome. Según las páginas de estas extensiones, se estima que 423.992 usuarios se han visto afectados. Google ya ha eliminado estas extensiones de la tienda web oficial de Chrome. Además, los servidores de C & C también se han eliminado de Cloudflare.