Los anuncios falsos del administrador de contraseñas de Bitwarden en Facebook difunden una extensión maliciosa de Google Chrome que recopila y roba datos confidenciales del usuario del navegador.
Bitwarden es una popular aplicación de administración de contraseñas con un nivel «gratuito» que incluye cifrado de extremo a extremo, soporte multiplataforma, integración MFA y una interfaz fácil de usar.
Su base de usuarios ha seguido creciendo en los últimos dos años, particularmente después de las violaciones de seguridad de la competencia que llevaron a muchas personas a buscar alternativas.
Se ha lanzado una nueva campaña de publicidad maliciosa haciéndose pasar por Bitwarden. detectado por Bitdefender Labscuyos investigadores informan que la operación se lanzó el 3 de noviembre de 2024.
Fuente: Bitdefender
Anuncios maliciosos de Facebook
La campaña publicitaria de Facebook advierte a los usuarios que están «utilizando una versión desactualizada de Bitwarden» y que deben actualizar inmediatamente el programa para proteger sus contraseñas.
El enlace incluido en el anuncio es «chromewebstoredownload».[.]com”, que afirma ser la tienda web oficial de Google Chrome en “chromewebstore.google.com”.
La página de inicio también presenta un diseño muy similar a Chrome Web Store, incluido un botón «Agregar a Chrome».
Fuente: Bitdefender
Sin embargo, en lugar de que la extensión se instale automáticamente al hacer clic en el enlace, se solicita a los visitantes que descarguen un archivo ZIP desde una carpeta de Google Drive.
Aunque esto debería ser una clara señal de peligro, los usuarios que no estén familiarizados con Chrome Web Store pueden proceder con la instalación manualmente, siguiendo las instrucciones de la página web.
La instalación requiere habilitar el «Modo de desarrollador» en Chrome y cargar manualmente la extensión en el programa, por lo que, esencialmente, se omiten los controles de seguridad.
Una vez instalada, la extensión se registra como “Bitwarden Password Manager” versión 0.0.1 y obtiene permisos que le permiten interceptar y manipular las actividades del usuario.
Sus funciones principales son las siguientes:
- Recopile cookies de Facebook, incluida la cookie “c_user” que contiene la identificación del usuario.
- Recopile datos de IP y geolocalización mediante API públicas
- Recopile detalles de usuario de Facebook, información de cuenta y datos de facturación a través de Facebook Graph API
- Manipula el DOM del navegador para mostrar mensajes de carga falsos con fines de legitimidad o engaño.
- Codifica datos confidenciales y los pasa a una URL de Google Script bajo el control de los atacantes.
Para mitigar este riesgo, se recomienda a los usuarios de Bitwarden que ignoren los anuncios que solicitan actualizaciones de extensiones, ya que las extensiones de Chrome se actualizan automáticamente cuando el proveedor lanza una nueva versión.
Las extensiones solo deben instalarse a través de la tienda online oficial de Google o siguiendo los enlaces del sitio web oficial del proyecto, en este caso, bitwarden.com.
Al instalar una nueva extensión, verifique siempre los permisos solicitados y trate con gran sospecha las solicitudes demasiado agresivas que impliquen acceso a cookies, solicitudes de red y datos del sitio web.
