Se descubrió que la extensión del navegador Chrome denominada SearchBlox que fue instalada por más de 200 000 usuarios, contiene una puerta trasera capaz de robar las credenciales de Roblox.
La extensión de Chrome apunta a los jugadores de Roblox
Las extensiones ‘SearchBlox’ que se encuentran en la Chrome Web Store comprometidas.
Los ID no seguras de estas extensiones son:
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
Estas extensiones afirman que te permiten “buscar en los servidores de Roblox un jugador deseado.. increíblemente rápido” pero ambas contenían una puerta trasera.
En las primeras horas de la mañana del miércoles, surgieron sospechas entre los miembros de la comunidad de Roblox de que SearchBlox podría contener malware.
“El complemento popular SearchBlox ha sido COMPROMETIDO / BACKDOOR; si lo tienes tu cuenta puede estar en riesgo” twiteo RTC, una cuenta no oficial de noticias y comunidad de Roblox.
Al mismo tiempo, aconsejaba cambiar las contraseñas y las credenciales asociadas a Roblox, para que las cuentas volviesen a ser seguras.
El equipo de BC descargó las extensiones de Chrome y realizó una análisis completo de todo el código, descubriendo que la primera extensión (blddohgncmehcepnokognejaaahehncd) descargada por más de 200 000 usuarios, contenía una puerta trasera existente en la línea 3 del archivo ‘content.js’.
Y la segunda extensión (ccjalhebkdogpobnbdhfpincfeohonni) con 959 descargas, contenía una puerta trasera que residía dentro del archivo ‘button.js’.
La URL que realiza la función completa de puerta trasera, en ambos casos, sería: hxxps://searchblox[.]site/image.png/image.txt
Como si la estructura de la URL ‘image.png/image.txt’ en sí misma no fuera interesante, la página contiene código HTML que pretende mostrar una imagen usando la etiqueta ‘‘ pero en su lugar carga JavaScript ofuscado que está codificado aún más como entidades de caracteres HTML (usando los símbolos ‘&’ e ‘#’).
El código, cuando se decodifica, produce un código ofuscado que parece estar filtrando las credenciales de Roblox a otro dominio. En concreto: releasethen.site.
Cabe destacar el hecho de que tanto ‘searchblox.site’ como ‘releasethen.site’ se registraron este mes y comparten un servidor web común, Hostinger.
El código también parece analizar el perfil de los jugadores en rolimons.com una plataforma comercial de Roblox.
SearchBlox, un delincuente reincidente
Desafortunadamente, tampoco parece ser la primera vez que una extensión maliciosa de ‘SearchBlox’ se dirige a los usuarios de Roblox.
En octubre, según informes analizados, Google eliminó otro ‘SearchBlox’ que se encontraba en la Web Store de Chrome desde al menos el 28 de junio de 2022 .
Existe cierta especulación entre los miembros de la comunidad de Roblox que han notado que el inventario del usuario ‘Unstoppablelucent’, supuestamente el desarrollador de la extensión, se multiplica de la noche a la mañana.
Mientras que el usuario ‘ccfont’ de Rolimons fue cancelado por intercambios de inventario sospechosos.
Tanto la extensión como las URL infractoras tienen una reputación limpia en VirusTotal, lo que hace que la detección de estas extensiones maliciosas sea mucho más complicado para los antivirus.
Sobra decir que cualquier persona que haya instalado SearchBlox debe eliminar la extensión de inmediato, borrar sus cookies y cambiar sus contraseñas de Roblox, Rolimons y otros sitios web en los que pueda haber iniciado sesión.
Las extensiones maliciosas ya fueron notificadas a Google y actualmente ya se encuentran retiradas.