El site especializado Eleven Path informó que ha detectado una extensión para Google Chrome, aún activa, que roba los datos de los formularios de las páginas que son visitadas por las víctimas y está activo desde febrero del año pasado. Está oculto a las búsquedas en la Web Store y solo puede accederse a través de un enlace que los atacantes están distribuyendo por medio de ataques de inyección de JavaScript en webs que los redirigen.

Una vez instalada, incrusta una pequeña función en todas las páginas que visita el usuario, en concreto, explota la funcionalidad que posee la API webRequest.onBeforeRequest que permite registrar un “hook” que será llamado justo antes de que el usuario emita una nueva petición HTTP dentro de la página (por ejemplo, pulsar un enlace o enviar un formulario).

En vez de captar víctimas a través de la búsqueda o a través de un envío masivo de mails, cosa que haría que la campaña fuese más exitosa pero seguro más “detectable”, los atacantes han preferido otra técnica. Infectan páginas webs (hostings completos con todas sus webs, como hemos observado) con un JavaScritpt que detecta si el navegador es Chrome. Si es así, simplemente redirigen a una página que indicará que debe instalar Flash y así, será redirigido a esta extensión. Este es el fragmento de JavaScript inyectado en las webs.

Desde Eleven Path remarcaron que ya dieron aviso a Google y para analizar extensiones en general ofrecen la siguiente herramienta denominada NETO.