NUEVA ACTIVIDAD DEL MALWARE SEARCHBLOX

24/11/2022

BOLETÍN NRO 2022-698

Recientemente se ha descubierto que la extensión del navegador Chrome 'SearchBlox', instalada por varios usuarios, contiene un backdoor que puede robar las credenciales de Roblox, así como los activos en Rolimons, una plataforma de comercio de Roblox.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   MEDIA

Una extensión de Chrome se dirige a los jugadores de Roblox, las extensiones 'SearchBlox' que se encuentran en la Chrome Web Store parecen estar comprometidas. Hay dos resultados de búsqueda de 'SearchBlox' en Chrome. Estas extensiones afirman que te permiten "buscar en los servidores de Roblox", pero ambas contenían malware.

Los ID de estas extensiones inseguras son

• blddohgncmehcepnokognejaaahehncd

• ccjalhebkdogpobnbdhfpincfeohonni

Al revisar las extensiones de Chrome para su análisis y, en el caso de la primera extensión (blddohgncmehcepnokogneaahehncd) el backdoor se encontró en la línea 3 del archivo 'content[.]js'. En el caso de la segunda extensión (ccjalhebkdogpobnbdhfpincfeohonni), el backdoor residía en el archivo 'button[.]js'.

La URL maliciosa en ambos casos es hxxps://searchblox[.]site/image.png/image.txt. Como si la estructura de la URL 'image.png/image.txt' no fuera ya interesante, la página contiene código HTML que pretende mostrar una imagen utilizando la etiqueta '<img>', pero en su lugar carga JavaScript ofuscado que se codifica además como entidades de caracteres HTML (utilizando los símbolos '&' y '#'):

El código al ser descifrado arroja un código ofuscado que además parece estar exfiltrando las credenciales de Roblox a otro dominio: releasethen[.]site.

Cabe destacar que tanto "searchblox[.]site" como "releasethen[.]site" se registraron este mes y comparten un alojamiento web común.

El código también parece encuestar el perfil de un jugador en Rolimons[.]com, una plataforma de comercio de Roblox. Tampoco parece ser la primera vez que una extensión maliciosa de 'SearchBlox' se dirige a los usuarios de Roblox. En octubre, Google retiró otra 'SearchBlox' que estaba en la Chrome Web Store desde al menos el 28 de junio de 2022.

Los especialistas de seguridad comunicaron que los usuarios que hayan instalado 'SearchBlox' debería eliminar la extensión inmediatamente, borrar sus cookies y cambiar sus contraseñas de Roblox, Rolimons y otros sitios web en los que haya entrado mientras la extensión estaba en uso.

Indicadores de Compromiso

Dominio

searchblox[.]site

releasethen[.]site

URL

hxxps[:]//searchblox[.]site/image[.]png/image[.]txt

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: Backdoored Chrome extension installed by 200,000 Roblox players
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​