Los ciberdelincuentes lograron hackear una extensión de Google Chrome después de atacar la cuenta de Chrome Web Store del desarrollador de software alemán a9t9 con el objetivo de distribuir spam publicitario a los usuarios desde una fuente aparentemente fiable. Una vez hackeada, la extensión solicitaba a los usuarios que realizaran una actualización de la misma. Si la actualización se producía, los mensajes publicitarios comenzaban a inundar las webs del usuario.

La extensión Copyfish legítima permite extraer texto de imágenes, documentos PDF y video y es utilizada por más de 37.500 personas. El atacante no solo hackeó la extensión sino que cambió incluso la extensión a su cuenta de desarrollador, con el objetivo de evitar que sus desarrolladores legítimos pudieran eliminar la extensión infectada de la store de Chrome.

¿Cómo consiguieron hackear la extensión?

El 28 de julio, uno de los desarrolladores de la empresa de software a9t9 fue víctima de un ataque con phishing al recibir un email, aparentemente del equipo de Chrome Web store, en el que se le solicitaba que abriera un link concreto. Cuando el desarrollador pinchó el link, se abrió una ventana en la que indicaba que debía de introducir su contraseña de Google.

En realidad el link enviado se trataba de un link en formato bit.ly pero puesto que el desarrollador lo estaba viendo en formato HTML, no sospechó en ningún momento e introdujo la contraseña de su cuenta de Google. Según a9t9, la pantalla de petición de contraseña tenía un diseño exacto al empleado por Google.

«Aparentemente todo parecía legítimo por lo que no nos dimos cuenta del ataque de phishing en ese momento. Simplemente no teníamos en nuestro radar los ataques de phishing usando las extensiones de Chrome»

Cuando el desarrollador introdujo las credenciales de la cuenta, los hackers actualizaron la extensión Copyfish creando una nueva versión 2.8.5, que es la que comenzó a distribuir spam y anuncios a los usuarios.