Extensión SearchBlox de Chrome pudo robar hasta 200.000 cuentas de Roblox

Se descubrió que la extensión del navegador Chrome denominada SearchBlox que fue instalada por más de 200 000 usuarios, contiene una puerta trasera capaz de robar las credenciales de Roblox.

¿Qué es Roblox? La Megaplataforma de Juegos que aspira a ser el futuro de los juegos creando un auténtico Metaverso

La extensión de Chrome apunta a los jugadores de Roblox

Las extensiones ‘SearchBlox’ que se encuentran en la Chrome Web Store comprometidas.

Los ID no seguras de estas extensiones son:

  • blddohgncmehcepnokognejaaahehncd
  • ccjalhebkdogpobnbdhfpincfeohonni

Estas extensiones afirman que te permiten “buscar en los servidores de Roblox un jugador deseado.. increíblemente rápido” pero ambas contenían una puerta trasera.

En las primeras horas de la mañana del miércoles, surgieron sospechas entre los miembros de la comunidad de Roblox de que SearchBlox podría contener malware.

“El complemento popular SearchBlox ha sido COMPROMETIDO / BACKDOOR; si lo tienes tu cuenta puede estar en riesgo” twiteo RTC, una cuenta no oficial de noticias y comunidad de Roblox.

Al mismo tiempo, aconsejaba cambiar las contraseñas y las credenciales asociadas a Roblox, para que las cuentas volviesen a ser seguras.

Roblox erradica cualquier mención de ser un juego

El equipo de BC descargó las extensiones de Chrome y realizó una análisis completo de todo el código, descubriendo que la primera extensión (blddohgncmehcepnokognejaaahehncd) descargada por más de 200 000 usuarios, contenía una puerta trasera existente en la línea 3 del archivo ‘content.js’.

Y la segunda extensión (ccjalhebkdogpobnbdhfpincfeohonni) con 959 descargas, contenía una puerta trasera que residía dentro del archivo ‘button.js’.

La URL que realiza la función completa de puerta trasera, en ambos casos, sería: hxxps://searchblox[.]site/image.png/image.txt

Como si la estructura de la URL ‘image.png/image.txt’ en sí misma no fuera interesante, la página contiene código HTML que pretende mostrar una imagen usando la etiqueta ‘‘ pero en su lugar carga JavaScript ofuscado que está codificado aún más como entidades de caracteres HTML (usando los símbolos ‘&’ e ‘#’).

El código, cuando se decodifica, produce un código ofuscado que parece estar filtrando las credenciales de Roblox a otro dominio. En concreto: releasethen.site.

Cabe destacar el hecho de que tanto ‘searchblox.site’ como ‘releasethen.site’ se registraron este mes y comparten un servidor web común, Hostinger.

El código también parece analizar el perfil de los jugadores en rolimons.com una plataforma comercial de Roblox.

SearchBlox, un delincuente reincidente

Desafortunadamente, tampoco parece ser la primera vez que una extensión maliciosa de ‘SearchBlox’ se dirige a los usuarios de Roblox.

Introducción a la creación de juegos con Roblox Studio

En octubre, según informes analizados, Google eliminó otro ‘SearchBlox’ que se encontraba en la Web Store de Chrome desde al menos el 28 de junio de 2022 .

Existe cierta especulación entre los miembros de la comunidad de Roblox que han notado que el inventario del usuario ‘Unstoppablelucent’, supuestamente el desarrollador de la extensión, se multiplica de la noche a la mañana.

Mientras que el usuario ‘ccfont’ de Rolimons fue cancelado por intercambios de inventario sospechosos.

Tanto la extensión como las URL infractoras tienen una reputación limpia en VirusTotal, lo que hace que la detección de estas extensiones maliciosas sea mucho más complicado para los antivirus.

Roblox: La Guía Definitivo, David Jagneaux

Sobra decir que cualquier persona que haya instalado SearchBlox debe eliminar la extensión de inmediato, borrar sus cookies y cambiar sus contraseñas de Roblox, Rolimons y otros sitios web en los que pueda haber iniciado sesión.

Las extensiones maliciosas ya fueron notificadas a Google y actualmente ya se encuentran retiradas.