Se descubrió que la extensión del navegador Chrome denominada SearchBlox que fue instalada por más de 200 000 usuarios, contiene una puerta trasera capaz de robar las credenciales de Roblox.
La extensión de Chrome apunta a los jugadores de Roblox
Las extensiones ‘SearchBlox’ que se encuentran en la Chrome Web Store comprometidas.
Los ID no seguras de estas extensiones son:
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
Estas extensiones afirman que te permiten “buscar en los servidores de Roblox un jugador deseado.. increíblemente rápido” pero ambas contenían una puerta trasera.
En las primeras horas de la mañana del miércoles, surgieron sospechas entre los miembros de la comunidad de Roblox de que SearchBlox podría contener malware.
“El complemento popular SearchBlox ha sido COMPROMETIDO / BACKDOOR; si lo tienes tu cuenta puede estar en riesgo” twiteo RTC, una cuenta no oficial de noticias y comunidad de Roblox.
Al mismo tiempo, aconsejaba cambiar las contraseñas y las credenciales asociadas a Roblox, para que las cuentas volviesen a ser seguras.
El equipo de BC descargó las extensiones de Chrome y realizó una análisis completo de todo el código, descubriendo que la primera extensión (blddohgncmehcepnokognejaaahehncd) descargada por más de 200 000 usuarios, contenía una puerta trasera existente en la línea 3 del archivo ‘content.js’.
Y la segunda extensión (ccjalhebkdogpobnbdhfpincfeohonni) con 959 descargas, contenía una puerta trasera que residía dentro del archivo ‘button.js’.
La URL que realiza la función completa de puerta trasera, en ambos casos, sería:
hxxps://searchblox[.]site/image.png/image.txt
Como si la estructura de la URL ‘image.png/image.txt’ en sí misma no fuera interesante, la página contiene código HTML que pretende mostrar una imagen usando la etiqueta ‘‘ pero en su lugar carga JavaScript ofuscado que está codificado aún más como entidades de caracteres HTML (usando los símbolos ‘&’ e ‘#’).
El código, cuando se decodifica, produce un código ofuscado que parece estar filtrando las credenciales de Roblox a otro dominio. En concreto: releasethen.site.
Cabe destacar el hecho de que tanto ‘searchblox.site’ como ‘releasethen.site’ se registraron este mes y comparten un servidor web común, Hostinger.
El código también parece analizar el perfil de los jugadores en
rolimons.com
una plataforma comercial de Roblox.
SearchBlox, un delincuente reincidente
Desafortunadamente, tampoco parece ser la primera vez que una extensión maliciosa de ‘SearchBlox’ se dirige a los usuarios de Roblox.
En octubre, según informes analizados, Google eliminó otro ‘SearchBlox’ que se encontraba en la Web Store de Chrome desde al menos el 28 de junio de 2022 .
Existe cierta especulación entre los miembros de la comunidad de Roblox que han notado que el inventario del usuario ‘Unstoppablelucent’, supuestamente el desarrollador de la extensión, se multiplica de la noche a la mañana.
Mientras que el usuario ‘ccfont’ de Rolimons fue cancelado por intercambios de inventario sospechosos.
Tanto la extensión como las URL infractoras tienen una reputación limpia en VirusTotal, lo que hace que la detección de estas extensiones maliciosas sea mucho más complicado para los antivirus.
Sobra decir que cualquier persona que haya instalado SearchBlox debe eliminar la extensión de inmediato, borrar sus cookies y cambiar sus contraseñas de Roblox, Rolimons y otros sitios web en los que pueda haber iniciado sesión.
Las extensiones maliciosas ya fueron notificadas a Google y actualmente ya se encuentran retiradas.
Relacionado
Como desarrollador de software, es importante poder aumentar la productividad para terminar las tareas más difíciles a su debido tiempo. Para optimizar los procesos, se requieren las mejores herramientas y tecnologías, entre ellas algunas de las mejores extensiones de Chrome. Aprender a programar es una de las tareas más difíciles y que consume más tiempo en los nuevos programadores. Una vez que hayas aprendido a programar ¡SEGUIR LEYENDO!
En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Grandes servicios con muchas características y listas simples con una interfaz minimalista. https://ciberninjas.com/extensiones-ganar-tiempo/ 1. ClickUp Notepad
ClickUp es un servicio con muchas oportunidades tanto para la productividad personal como para el trabajo en equipo. Puede administrar el sistema a través del sitio web, aplicaciones para Windows, macOS, Linux, iOS y Android, así como a través de la extensión para Chrome. Este último contiene ¡SEGUIR LEYENDO!
Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
Una nueva e impresionante extensión de Adobe XD para Visual Studio Code, nos permite utilizar Adobe XD sin salir del editor. Los sistemas de diseño son el vínculo entre diseño y el desarrollo. Para construir un sistema exitoso, personalizado y ampliamente adoptado, tanto los diseñadores como los desarrolladores deben tener un hueco a la hora de la creación. La nueva extensión de Adobe XD para Visual ¡SEGUIR LEYENDO!
Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!
ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
Más de 280 aplicaciones de Android e iOS en Google Play y las tiendas de aplicaciones de Apple atraparon a los usuarios en esquemas de préstamos con términos engañosos y emplearon varios métodos para extorsionar. https://ciberninjas.com/malware-extension-chrome-venomsoftx/ Para alimentar los intentos de extorsión de la operación, las aplicaciones robaban cantidades excesivas de datos de teléfonos móviles que normalmente no se requieren para ofrecer préstamos. En un nuevo ¡SEGUIR LEYENDO!
Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!