În ultimele luni, în laboratorul nostru de cercetare, am observat o creștere a numărului de amenințări JS/Chromex.Submelius detectate. În țări precum Columbia, Peru, Ecuador și Chile, nivelurile de detectare pentru această amenințare particulară au reprezentat 30% sau 40% din totalul amenințărilor din întreaga țară.

Acesta este un troian care redirecționează browserul utilizatorului către o anumită adresă URL, ce conține un alt tip de conținut rău intenționat. Având în vedere nivelurile ridicate de detecție a acestei amenințări, care vizează în primul rând Chrome, unul dintre cele mai populare browsere web, am descoperit modul în care se propagă amenințarea și modul în care un utilizator ar putea cădea în capcană.

Urmăriți ce doriți... dar în același timp veți fi infectați

Am identificat de pildă un exemplu al  modului în care această amenințare este propagată de pe un site popular pentru vizionarea filmelor online. Într-una dintre opțiunile de vizionare a conținutului, atunci când utilizatorul decide că vrea să înceapă vizionarea unui film, se deschide o fereastră suplimentară în browser:

Oricine a vizitat vreodată acest tip de site nu va găsi nimic deosebit de neobișnuit în această privință, deoarece ferestrele noi apar frecvent prezentând lucruri precum "un virus a fost detectat" sau "câștigați bani lucrând de acasă". În acest caz, browserul nu vă redirecționează spre alt site cu un anunț obișnuit, ci trimite într-un site care solicita să mergeți la o altă adresă URL ... iar mesajul nu va înceta să dispară până când nu dați "Accept".

Această nouă redirecționare conduce la descărcarea unei extensii din magazinul web Chrome. Imaginea următoare prezintă modul în care arată bara de adrese a browserului înainte de instalarea extensiei:

Dacă utilizatorul acceptă descărcarea, lângă bara de adrese apare un spațiu cu pictograma extensiei, iar dacă dați clic pe acesta, ajungeți la o nouă pagină din magazinul web Chrome pentru a instala o altă extensie. În acest caz, după cum puteți vedea în următoarea captură de ecran, există câteva comentarii recente care spun că aplicația este inutilă:

Dacă filmul a început să fie redat în acest moment, browserul utilizatorului a fost infectat. Dacă verificam ce extensii sunt instalate în browser, o găsim pe cea care a fost descărcată mai întâi și vedem că permisiunile sale includ citirea și schimbarea tuturor datelor pe site-urile pe care le accesați. Acest lucru lasă o fereastră deschisă, astfel încât atunci când utilizatorul vizitează orice site web, se injectează un cod în acesta:

Ulterior, în timp ce utilizatorul navighează pe internet, va remarca deschiderea unor ferestre noi cu informații despre sistem, care vor conduce către alte site-uri care își propun descărcări de cod rău intenționat, afișarea de publicitate sau vor incerca infiltrarea altor tipuri de conținut malițios. Aceasta devine o buclă nesfârșită, care va aduce beneficii în cele din urmă oricui se află în spatele extinderii frauduloase.

Ce puteți face dacă ați descărcat extensia?

Dacă ați descărcat o asemenea extensie periculoasă, ar trebui să o eliminați imediat din browserul Chrome. Pentru a face acest lucru, puteți introduce "chrome://extensions" în bara de adrese și apoi, când găsiți extensia, pur și simplu o ștergeți.

Ca o măsură de precauție suplimentară, ar trebui să verificați și computerul sau dispozitivul utilizând o soluție de securitate de încredere pentru a exclude posibilitatea de a descărca orice alt tip de amenințare pe dispozitivul dumneavoastră.

Ca întotdeauna, este foarte important să fiți atenți înainte de a da clic pe orice și să acordați o atenție deosebită tuturor site-urilor pe care le vizitați, mai ales dacă vă solicită să descărcați extensii. Am identificat permanent alte campanii asociate cu YouTube, Facebook și alte site-uri care au operat în mod similar.

Acest tip de campanie nu este în nici un caz una izolată. De fapt, există o întreagă structură de metode  de redirecționare catre pagini asociate cu conținut malware pe care o vom examina în detaliu într-un articol viitor.

Credite imagine: ©Roger Casas-Alatriste/Flickr

CAMILO GUTIÉRREZ AMAYA
CORESPONDENT INDEPENDENT