La firma de seguridad Zimperium acaba de dar a conocer una nueva familia de malware para Windows que ha sido bautizada como ABCsoup. Tal como explican estos externos de seguridad, este malware se ocultaba dentro de extensiones de Chrome, las cuales eran capaces de evadir todos los sistemas de seguridad de Chrome, de la tienda de Google y hasta de las soluciones antivirus para Windows más profesionales.
Por lo general, estas extensiones no se han distribuido a través de la Chrome Store, sino que los piratas informáticos las han estado enviando a través de Internet ocultas en otros programas. Al abrirlos, la extensión se copiaba a Chrome. Y no levantaba sospechas ya que usaba el mismo ID que otra extensión popular: Google Translate (aapbdbdomjkkjkaonfhkkikfgjllcleb).
Para Chrome, y para las firmas de seguridad, se trata de una extensión fiable. Pero, en realidad, tiene una peligrosa amenaza en su interior. Además, si el usuario ya tenía instalada la extensión de Google Translate, el malware la borraba para ocupar su lugar.
Una vez instalada la extensión, esta empezaba a mostrar anuncios a los usuarios en función de sus intereses. Además, es capaz de crear huellas digitales para rastrear toda la actividad, e incluso inyectar JavaScript en las webs para controlar lo que escribe. Pero su objetivo principal es el público ruso, ya que monitoriza el uso de redes sociales en dicho país y, si el usuario entra, toba todo tipo de datos personales, como nombre, apellidos, fechas de nacimiento y sexo. Y todos los datos se envían a un servidor externo.
-Identificar extensiones con adware en Chrome
Si es una campaña de malware tan bien organizada, ¿Cómo puedo saber si estoy infectado? Como hemos dicho, todas las extensiones que tienen este adware utilizan el mismo ID que la extensión de Google Translate. Por tanto, simplemente debemos abrir el panel de extensiones de Chrome escribiendo en la barra de direcciones “chrome://extensions/», y buscar por el ID de la extensión, en este caso: «aapbdbdomjkkjkaonfhkkikfgjllcleb”.
Si nos aparece la extensión de Traductor de Google, en un principio no tenemos que preocuparnos, ya que es la original (aunque, por si acaso, podemos borrarla para asegurarnos). En caso de que nos aparezca otra extensión con este ID, entonces sí hemos sido infectados por este malware.
En este caso, nuestra recomendación es borrar cuanto antes la extensión, y limpiar por completo el navegador. También deberíamos analizar el PC completo con un antivirus, y aprovechar para cambiar todas las contraseñas de las webs donde estemos registrados, ya que estarán en manos de los piratas informáticos.