Una extensión maliciosa para Google Chrome se está haciendo pasar por una extensión de Google Sheets, la aplicación de hoja de cálculo de Google, para robar criptomonedas y contenido del portapapeles mientras los usuarios navegan por Internet.
Investigadores de Fortinet ya apuntaron que esta extensión maliciosa está en activo desde 2020, con lo que ha conseguido hacerse con criptomonedas y contraseñas de miles de usuarios a lo largo de este tiempo.
Sin embargo, un nuevo informe de Avast proporciona nuevos detalles sobre esta extensión y cómo el malware ha experimentado un importante desarrollo últimamente. En él se apunta que se trata de un add-on instalado por el malware ViperSoftX para Windows, un RAT (troyano de acceso remoto) con el que los delincuentes buscan hacerse con el control de los equipos de los usuarios.
Desde inicios de 2022, Avast ha detectado y parado 93.000 intentos de infección de ViperSoft, y de su variante VenomSoftX, contra sus clientes, principalmente en Estados Unidos, Italia, Brasil e India.
La principal vía de distribución de ViperSoftX se realiza a través de descargas ilegales con archivos torrent. Avast ha detectado multitud de juegos pirata, activadores y programas que habían sido activados con técnicas ilegales.
Además, los investigadores han descubierto que las primeras versiones de este troyano se ocultaban en los equipos a la espera de ejecutar las órdenes de un servidor de control remoto.
Sin embargo, en las nuevas versiones, los ciberdelincuentes hacen uso de Google Chrome, y sus extensiones, para tener mayor control sobre los equipos. Con ello consiguen capturar criptomonedas, contraseñas y toda la información que quieran de forma más fácil.
Cómo detectar y eliminar la extensión en Chrome
En concreto, el malware se instala en una extensión que los delincuentes han nombrado como Google Sheets 2.1 para que los usuarios la confundan con una versión legítima de la hoja de cálculo de Google. Esto les ha permitido que miles de usuarios la tengan instalada en sus equipos y haya pasado desapercibida.
Con ello, los ciberdelincuentes ganan un tiempo muy valioso durante el que roban, entre otros datos, los monederos de criptomonedas como Blockchain.com, Binance, Coinbase, Gate.io y Kucoin.
No obstante, también se ha centrado en el robo de la información del portapapeles y contraseñas. Una vez se hace con toda esta información, la envía al servidor de los ciberdelincuentes
Si queremos localizar esta extensión de Google Sheets en nuestro equipo, debemos tener en cuenta que la legítima se instala en el navegador Chrome como una aplicación y no como extensión.
Con ello, si buscamos en las extensiones del navegador en chrome://extensions y aparece, significa que nuestro equipo está infectado por este troyano. Para solucionarlo, es importante eliminar la extensión y analizar el equipo con un antivirus para eliminar cualquier rastro que haya podido quedar.
