Submelius, malware que utiliza falsas extensiones de Chrome para infectar el navegador

Desde hace unas semanas, una amenaza en concreto nos ha llamado la atención a varios investigadores de distintos países. Esta nueva amenaza utiliza extensiones del que es ahora el navegador más utilizado (Google Chrome) para intentar inyectar código en las webs visitadas por sus víctimas y así poder robar información, descargar malware o bombardearlas con publicidad.

Vectores de infección

Debido a que esta amenaza, detectada por las soluciones de ESET como JS/Chromex.Submelius, necesita instalarse como una extensión de Chrome, el vector de infección utilizado por los delincuentes son ciertas páginas web. Nuestro compañero Camilo Gutiérrez, responsable de Investigación y Concienciación en ESET Latinoamérica, ha detectado esta amenaza propagándose, por ejemplo, desde cierto sitio bastante popular que es utilizado por los usuarios para ver películas online.

Justo antes de iniciarse la reproducción de la película, Camilo observó cómo se abría una nueva ventana en el navegador, cosa habitual cuando se nos quiere mostrar publicidad en este tipo de sitios, pero que en esta ocasión esconde algo más peligroso:

Como ya hemos indicado, este comportamiento no debería resultarnos atípico, puesto que muchos sitios lo utilizan para mostrarnos publicidad, y no estamos hablando solamente de webs en las que ver este tipo de contenido…, sino también de muchas webs con buena reputación y visitadas por millones de personas cada día, como las de los periódicos online o aquellas que buscan las mejores ofertas en vuelos y hoteles, por poner solo dos ejemplos.

Pero al contrario que sucede en aquellos casos en los que solamente se nos muestra publicidad, en esta ocasión se redirige al usuario a una web que tan solo muestra un mensaje que no deja de aparecer hasta que se pulsa sobre el botón Aceptar.

Instalando una extensión maliciosa

En lugar de descargar un malware directamente al pulsar sobre el botón Aceptar en la anterior ventana emergente, la estrategia diseñada por los delincuentes hace que se dirija al usuario a la descarga de una extensión desde la tienda oficial Chrome Web Store. Es importante destacar este punto, puesto que esto significa que la extensión maliciosa está siendo instalada desde un repositorio oficial gestionado por Google.

En este punto, podemos ver varios indicios que nos pueden hacer sospechar que no se trata de una aplicación legítima, como la falta de comentarios o valoración. Sin embargo, para muchos usuarios esto no es un impedimento a la hora de descargar extensiones y es bastante probable que instalen la extensión maliciosa sin fijarse en estos detalles.

En el caso de que se produzca la instalación de esta extensión maliciosa en el navegador de la víctima, observaremos que aparece un nuevo icono al lado de la barra de direcciones. Al pulsar sobre dicho icono se dirige nuevamente a la descarga de otro complemento malicioso que también se encuentra en la web oficial de extensiones de Chrome.

Si el usuario ha caído en la trampa y procede a instalar esta extensión, habrá comprometido la seguridad de su navegador, ya que a partir de ese momento y gracias a que esta aplicación dispone de permisos para leer y modificar todos los datos de los sitios web que se visiten a partir de ese momento.

Esto permite a los atacantes inyectar código malicioso en cualquier web que se visite utilizando el navegador infectado.

A partir de ese momento, el usuario observará que realizando una navegación completamente normal por sitios de Internet legítimos aparecerán nuevas pestañas en su navegador con todo tipo de alertas o avisos sobre su sistema. La finalidad de los delincuentes es que el usuario termine descargando algún tipo de código malicioso o sea bombardeado por publicidad de todo tipo.

Impacto de Submelius

Como en anteriores campañas analizadas en las que un malware destacaba sobremanera sobre el resto, el caso de Submelius es similar, puesto que su propagación empezó a destacar a finales de marzo.

En la siguiente gráfica obtenida gracias al servicio Virus Radar de ESET podemos observar cómo la detección de este malware en España ha sido bastante considerable durante las últimas semanas, llegando a estar por encima de un clásico como el ransomware y rozando niveles del 50% del total de malware detectado en días concretos.

A nivel mundial, vemos cómo Submelius ha afectado principalmente a Europa y Latinoamérica, situándose también entre las amenazas más detectadas durante el mes de abril. Es curioso ver que su incidencia en Asia, Norteamérica y Oceanía ha sido más leve si lo comparamos con las zonas más afectadas, todo eso a pesar de concentrar un gran número de usuarios de Internet.

Cómo eliminar las extensiones maliciosas

Si nos hemos visto afectados por Submelius y hemos instalado alguna de las extensiones maliciosas en nuestro navegador Chrome, debemos proceder a eliminarlo lo antes posible. Para ello accederemos al apartado de extensiones escribiendo “chrome://extensions” en la barra del navegador y eliminaremos las extensiones sospechosas.

Debemos tener en cuenta que en este post solo hemos mostrado dos de las extensiones maliciosas utilizadas por los creadores de Submelius y que existen muchas más. Así pues, debemos revisar una por una todas las extensiones que tengamos y eliminar aquellas sospechosas.

Además, siempre es recomendable analizar nuestro equipo con una solución de seguridad para buscar posibles restos de esta infección y proceder a su eliminación. Si no se dispone de ninguna o se desea obtener una segunda opinión, podemos utilizar ESET Online Scanner de manera gratuita, aplicación que se ejecuta directamente desde nuestro navegador.

Conclusión

Ejemplos como el que acabamos de analizar nos recuerdan la importancia de revisar cualquier cosa que queramos instalar en nuestro sistema antes de hacerlo. No importa el sitio web que estemos visitando en ese momento, puesto que este tipo de amenazas pueden estar tanto en sitios más peligrosos como en otros perfectamente confiables a través de técnicas como el malvertising.

Josep Albors

Abierto el registro para las jornadas X1RedMasSegura 2017