Extensión SearchBlox de Chrome pudo robar hasta 200.000 cuentas de Roblox

Se descubrió que la extensión del navegador Chrome denominada SearchBlox que fue instalada por más de 200 000 usuarios, contiene una puerta trasera capaz de robar las credenciales de Roblox.

¿Qué es Roblox? La Megaplataforma de Juegos que aspira a ser el futuro de los juegos creando un auténtico Metaverso

La extensión de Chrome apunta a los jugadores de Roblox

Las extensiones ‘SearchBlox’ que se encuentran en la Chrome Web Store comprometidas.

Los ID no seguras de estas extensiones son:

  • blddohgncmehcepnokognejaaahehncd
  • ccjalhebkdogpobnbdhfpincfeohonni

Estas extensiones afirman que te permiten “buscar en los servidores de Roblox un jugador deseado.. increíblemente rápido” pero ambas contenían una puerta trasera.

En las primeras horas de la mañana del miércoles, surgieron sospechas entre los miembros de la comunidad de Roblox de que SearchBlox podría contener malware.

“El complemento popular SearchBlox ha sido COMPROMETIDO / BACKDOOR; si lo tienes tu cuenta puede estar en riesgo” twiteo RTC, una cuenta no oficial de noticias y comunidad de Roblox.

Al mismo tiempo, aconsejaba cambiar las contraseñas y las credenciales asociadas a Roblox, para que las cuentas volviesen a ser seguras.

Roblox erradica cualquier mención de ser un juego

El equipo de BC descargó las extensiones de Chrome y realizó una análisis completo de todo el código, descubriendo que la primera extensión (blddohgncmehcepnokognejaaahehncd) descargada por más de 200 000 usuarios, contenía una puerta trasera existente en la línea 3 del archivo ‘content.js’.

Y la segunda extensión (ccjalhebkdogpobnbdhfpincfeohonni) con 959 descargas, contenía una puerta trasera que residía dentro del archivo ‘button.js’.

La URL que realiza la función completa de puerta trasera, en ambos casos, sería: hxxps://searchblox[.]site/image.png/image.txt

Como si la estructura de la URL ‘image.png/image.txt’ en sí misma no fuera interesante, la página contiene código HTML que pretende mostrar una imagen usando la etiqueta ‘‘ pero en su lugar carga JavaScript ofuscado que está codificado aún más como entidades de caracteres HTML (usando los símbolos ‘&’ e ‘#’).

El código, cuando se decodifica, produce un código ofuscado que parece estar filtrando las credenciales de Roblox a otro dominio. En concreto: releasethen.site.

Cabe destacar el hecho de que tanto ‘searchblox.site’ como ‘releasethen.site’ se registraron este mes y comparten un servidor web común, Hostinger.

El código también parece analizar el perfil de los jugadores en rolimons.com una plataforma comercial de Roblox.

SearchBlox, un delincuente reincidente

Desafortunadamente, tampoco parece ser la primera vez que una extensión maliciosa de ‘SearchBlox’ se dirige a los usuarios de Roblox.

Introducción a la creación de juegos con Roblox Studio

En octubre, según informes analizados, Google eliminó otro ‘SearchBlox’ que se encontraba en la Web Store de Chrome desde al menos el 28 de junio de 2022 .

Existe cierta especulación entre los miembros de la comunidad de Roblox que han notado que el inventario del usuario ‘Unstoppablelucent’, supuestamente el desarrollador de la extensión, se multiplica de la noche a la mañana.

Mientras que el usuario ‘ccfont’ de Rolimons fue cancelado por intercambios de inventario sospechosos.

Tanto la extensión como las URL infractoras tienen una reputación limpia en VirusTotal, lo que hace que la detección de estas extensiones maliciosas sea mucho más complicado para los antivirus.

Guía Definitiva de Roblox escrita por David Jagneaux

Sobra decir que cualquier persona que haya instalado SearchBlox debe eliminar la extensión de inmediato, borrar sus cookies y cambiar sus contraseñas de Roblox, Rolimons y otros sitios web en los que pueda haber iniciado sesión.

Las extensiones maliciosas ya fueron notificadas a Google y actualmente ya se encuentran retiradas.

Relacionado

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

Phishing de QBot abusa del EXE del Panel de control para infectar los dispositivos

Los correos electrónicos de phishing que distribuyen el malware QBot utilizan una falla de secuestro de DLL en el Panel de control de Windows 10 para infectar las computadoras. El secuestro de DLL es un método de ataque común que aprovecha cómo se cargan las bibliotecas de vínculos dinámicos (DLL) en Windows. Cuando se inicia un ejecutable de Windows, buscará cualquier dependencia DLL en la ruta ¡SEGUIR LEYENDO!

Aplicaciones de Android Plagadas de Malware detectadas en Google Play

Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!

Piratas Informáticos Norcoreanos Blanquean Criptomonedas Robadas a través de YoMix

El colectivo de hackers norcoreanos Lazarus, famoso por haber llevado a cabo numerosos atracos a gran escala de criptomonedas a lo largo de los años, ha pasado a utilizar el mezclador de bitcoins YoMix para lavar las ganancias robadas. Según un informe de la empresa de análisis de blockchain Chainalysis, Lazarus ha adaptado su proceso de lavado después de que los gobiernos sancionaran múltiples servicios de ¡SEGUIR LEYENDO!

Introducción a la creación de juegos con Roblox Studio

Roblox es una plataforma de juegos en línea que ha sido muy popular desde su lanzamiento en 2006 y está impulsada en gran medida por su entusiasta comunidad. Hay miles de juegos personalizados que están abiertos para que el público juegue en un entorno multijugador, que van desde simulaciones hasta las batallas reales. Sin embargo, además de poder jugar, también puedes crear el tuyo propio con ¡SEGUIR LEYENDO!