Las extensiones del navegador se han convertido en una parte integral de nuestra experiencia en línea. Desde herramientas de productividad hasta complementos de entretenimiento, estos pequeños módulos de software ofrecen funciones personalizadas según las preferencias individuales. Desafortunadamente, las extensiones también pueden resultar útiles para actores malintencionados.
Al aprovechar las características ventajosas del complemento, un atacante puede utilizar características como persistencia, instalación perfecta, privilegios elevados y exposición a datos no cifrados para distribuir y administrar troyanos bancarios.
En noviembre de 2023, los investigadores de seguridad de IBM Security Trusteer descubrieron un nuevo malware muy extendido llamado Fakext que utiliza una extensión Edge maliciosa para realizar ataques de inyección web y de hombre en el navegador.
Esto es lo que los ciberprofesionales necesitan saber sobre la campaña Fakext y, por extensión, varios ataques. Finalmente, exploraremos algunos indicadores de compromiso (IOC) y cómo solucionar este malware.
Campaña fakex dirigida a América Latina
Desde principios de noviembre de 2023, nuestro equipo ha visto más de 35.000 sesiones de infección, en su mayoría de América Latina (LATAM), con números menores de Europa y América del Norte. El elevado número de sesiones infectadas indica una campaña excepcionalmente exitosa y generalizada. También hemos visto que cuando Fakext inyecta contenido en la pantalla, como mensajes de error, formularios de usuario y notificaciones, aparece en español.
La lista de bancos objetivo extraída del cargador inicial incluye 14 bancos que operan en LATAM, particularmente en México. Además, el cargador está programado para detener la ejecución del código si el sitio web actual no cumple con los objetivos especificados. Estas observaciones colectivas sugieren fuertemente que esta variante está diseñada específicamente para los bancos objetivo de LATAM. Sin embargo, los métodos utilizados aquí son genéricos y pueden comprometer otras regiones con cambios menores de contenido. Ya conocemos casos anteriores en los que malware procedente de Latinoamérica se trasladó a España y luego se extendió a otras partes de Europa.
Paso 1: infección
El único propósito de la extensión es proporcionar un mecanismo persistente para inyectar scripts en la página HTML de la víctima.
El script de carga se obtiene de uno de los muchos servidores de comando y control (C2) que el agente de amenazas administra y ejecuta en el contexto de la página actual. Además del tráfico HTTP normal, Fakext utiliza la interfaz de programación de aplicaciones (API) de Telegram con servidores C2 como otro canal de comunicación. El estado actual de la inyección e incluso capturas de pantalla se envían mediante Telegram.
Fakext descarga la biblioteca JS de huellas dactilares de su red de entrega de contenido (CDN) oficial como un recurso externo legítimo y la utiliza para generar la identificación de usuario de la víctima. La huella digital del navegador se agrega como un atributo en el documento HTML llamado «fkr-client-uid» que indica que la extensión está instalada y ejecutándose.
Luego, el script de carga busca el ID antes mencionado y la URL de la página actual para ver si es uno de los bancos objetivo y recupera módulos adicionales según el resultado.
Fakext ejecuta dos módulos principales en sitios específicos:
- Un capturador de formularios que registra todos los campos de entrada en una página
- Una superposición que agrega contenido a una página para cambiar el comportamiento de las víctimas en caso de futuras estafas.
Paso 2: Evasión
Este malware intenta enmascarar su tráfico de red con nombres de dominio aparentemente legítimos similares a CDN y marcos conocidos, como por ejemplo:
- fastify(.)sbs (como fastify(.)io)
- jschecks(.)com
- cdn(.)jsassets(.)sbs
- javascript12(.)com
- fastify(.)elfaker(.)trabajadores(.)desarrollador
Puede encontrar una lista completa de los COI en el sitio web. Sección de COI a continuación.
El actor de amenazas utiliza empleados de Cloudflare para distribuir inyecciones web. La extensión en sí (que actualmente cuenta con más de 10,000 usuarios) se describe a sí misma como una herramienta para ayudar a facilitar el uso del portal del SAT de México, el sitio web de la oficina de impuestos del gobierno.
Figura 1: página de extensión SATiD de Edge Store
Fakext también utiliza técnicas anti-codificación populares que ya hemos visto en inyecciones web anteriores. El uso de ofuscación de código, anulación de funciones nativas y uso de secciones de código diseñadas para bloquear las herramientas de desarrollo hace que el código sea más difícil de detectar y analizar.
Paso 3: Intercepción
Fakext ejecuta un capturador de formularios genérico en la página actual que se vincula a todos los campos de entrada y espera un evento de entrada. Cuando se pulsa una tecla, todo el elemento de entrada, incluido el estilo, ID, tipo y valor, se envía al servidor C2.
Además, se envía la URL de la página actual, lo que permite al estafador conocer el tipo exacto y el propietario de las credenciales robadas.
Para objetivos específicos con estructuras de páginas HTML e ID de elementos conocidos, solo se capturan las entradas relevantes. Estos campos se identifican por sus ID específicos, que están codificados en el script, lo que indica que ciertas inyecciones se diseñaron solo para objetivos seleccionados.
Paso 4: robo de datos
En algunos de los objetivos enumerados, Fakext utiliza un vector de ataque diferente. En tales casos, inserta una superposición en la página que coincide con el estilo de página actual e impide que el usuario continúe con su comportamiento normal.
Si el soporte de TI del banco está falsamente presente, la ventana emergente solicita al usuario que descargue una herramienta de acceso remoto (RAT) legítima y proporciona al estafador las credenciales de la herramienta.
Figura 3. Se le solicita que instale un «software de seguridad» antes de continuar con las operaciones bancarias.
El resto de la página es aburrido y no responde y el mensaje no se puede eliminar.
Figura 4: Instrucciones para descargar e instalar TeamViewer.
Figura 5. Las instrucciones reconocen las credenciales que debe proporcionar la víctima.
Esta inyección envía continuamente información a los servidores C2 sobre el estado actual de la superposición, como en qué página emergente se encuentra el usuario, en qué página bancaria se encuentra el usuario (antes o después de iniciar sesión) y qué tipo de RAT instaló el usuario. .
Gracias a las credenciales de la RAT, el conocimiento del usuario, el estado de la aplicación bancaria y la capacidad de insertar ciertas páginas en la pantalla de la víctima (como una página falsa de contraseña de un solo uso (OTP)), el estafador puede realizar transacciones y otros fraudes financieros.
Figura 6: Entrada de token falso.
Las medidas de seguridad nativas, como la Política de seguridad de contenido (CSP), los certificados Secure Socket Layer (SSL) o la restricción de intercambio de recursos entre orígenes (CORS), no eliminan esta amenaza porque la extensión del navegador las anula.
La víctima no puede detectar que se ha inyectado contenido externo y toda la superposición parece ser un procedimiento de seguridad legítimo.
Además, a menudo se proporciona una forma opcional de información de la tarjeta de crédito para el robo de datos adicionales.
Figura 7: Página de carga de soporte de TI
Figura 8: Formulario de robo de tarjetas de crédito.
Indicadores generales de compensación
Una investigación realizada por IBM Trusteer identificó los siguientes IOC como Fakext:
Dominios
- hxxps://fastify.elfaker.workers.dev
- hxxps://prod.jslibrary.sbs
- hxxps://javascript(número).com
- hxxps://screen-security.com
- hxxps://cdn.lll.yachts
- hxxps://browser.internalfiles.sbs
- hxxps://jschecks.com
- hxxps://fastify.sbs
atributos del documento HTML
fkr-client-uid (atributo de elemento de documento de nivel superior)
Extensión maliciosa (tienda perimetral)
https://microsoftedge.microsoft.com/addons/detail/satid/odpnfiaoaffclahakgdnneofodejhaop
Hash de archivo:
contenido.16a81c08.js | 043bac1634491871ece146331382aaec |
espera.72e07fb5.js | 1ef985af2759d1212c2434429b627f30 |
bueno.8de52bb6.js | e8c81650adbb84b922455450ec04f1d0 |
inactivo.1e56b0c2.js | a42e363ed8270f280d285773ec372bd5 |
manifiesto.json | 6338b852beff119e0e1e865114c1d8d1 |
popup.100f6462.js | a9a3940107b33d5182b0d1e99f8ae812 |
ventana emergente.html | f71e706752c135452ae5977300bc135e |
index.js | e97da26cfd542bfad2ee2308f5c507cb |
icono128.plasma.3c1ed2d2.png | 679a3338b21f46f395b2fab8b7d982a9 |
icono32.plasmo.76b92899.png | 43f5015b531c12dd493d38625b7fdcdb |
icono48.plasma.aced7582.png | 8a137243b27abf67263e5955ad05bf2f |
icono64.plasma.8bb5e6e0.png | a468cbbc8a9aa65dadeaed52bfa44ec0 |
icono16.plasmo.6c567d50.png | 6d109561f4809f573eb155d7c1fa41e3 |
Desplázate para ver la tabla completa
Curación e instrucciones generales.
Una vez instalado, elimine inmediatamente el complemento SATiD de su navegador Edge.
Los usuarios deben estar atentos al utilizar aplicaciones bancarias. Esto incluye comunicarse con su banco para informar actividades potencialmente sospechosas en sus cuentas, no descargar software de fuentes desconocidas y seguir las mejores prácticas de higiene de contraseñas y seguridad del correo electrónico.
Hacemos hincapié en que las aplicaciones bancarias legítimas no requieren que usted descargue una herramienta de acceso remoto y autorice a otra persona. Además, es importante revisar periódicamente las extensiones instaladas. Si ya no utiliza una determinada extensión o ha encontrado una extensión con la que no está familiarizado, considere eliminarla para reducir su posible superficie de ataque.
Las personas y las organizaciones también deben estar alerta, implementar fuertes medidas de seguridad y mantenerse al tanto del malware emergente para combatir eficazmente estas amenazas.
IBM Security Trusteer le ayuda a detectar fraudes, autenticar usuarios y generar confianza en la identidad a lo largo del recorrido omnicanal del cliente. Más de 500 organizaciones líderes confían en Trusteer para ayudar a proteger los viajes digitales de sus clientes y respaldar el crecimiento empresarial.