¿de que forma podria alguien interceptar la instalación de una extensión buena y valida y sustituirla por una extensión aparentemente igual, que funciona igual, pero ademas incluye un troyano o un agente de una botnet? #0#1#2#3
Por ejemplo a traves de una wifi abierta, man in the middle o un rogue access point.
Digamos que alguien "distrae" al punto de acceso de tu router wifi de casa, haciendole un dos para que esté ocupado y te desconecte, mientras crea un punto de acceso clonico al que te conectas con tu portatil o smartphone, pensando que estás conectado a tu router. Entonces te conectas a la pagina de plugins de firefox y te descargas un plugin conocido, valido y no sospechoso. Pero resulta que interceptan la descarga de esa extension valida y te mandan otra que, hace lo mismo para que no sospeches, pero que ademas es un troyano o un agente de una botnet.
La clave es, quien coño va a instalar una extensión con ese nombre. Estas extension ha tenido que ser instalada por algun otro malware o extensión. #0#1#2#3#4
... Entonces te conectas a la pagina de plugins de firefox y te descargas un plugin conocido, valido y no sospechoso. Pero resulta que interceptan la descarga de esa extension valida y te mandan otra que, hace lo mismo para que no sospeches, pero que ademas es un troyano o un agente de una botnet.
Seguro que hay alguna forma más sencilla que esa que dices.
Primero habría que estar suplantando al router hasta que la víctima se descargue un plugin, eso puede suponer mucho tiempo o incluso infinito. Luego, habría que hacer un troyano que se pueda integrar en cualquier plugin automáticamente, y eso tampoco parece fácil.
Creo que sería necesario tener el control de la máquina para poder instalarle el plugin modificado, no se me ocurre otra forma.
Comentarios
Lo que hace minar bitcoins, si es que...
¿de que forma podria alguien interceptar la instalación de una extensión buena y valida y sustituirla por una extensión aparentemente igual, que funciona igual, pero ademas incluye un troyano o un agente de una botnet?
#0 #1 #2 #3
Por ejemplo a traves de una wifi abierta, man in the middle o un rogue access point.
Digamos que alguien "distrae" al punto de acceso de tu router wifi de casa, haciendole un dos para que esté ocupado y te desconecte, mientras crea un punto de acceso clonico al que te conectas con tu portatil o smartphone, pensando que estás conectado a tu router. Entonces te conectas a la pagina de plugins de firefox y te descargas un plugin conocido, valido y no sospechoso. Pero resulta que interceptan la descarga de esa extension valida y te mandan otra que, hace lo mismo para que no sospeches, pero que ademas es un troyano o un agente de una botnet.
¿Sería muy dificil hacer eso?
¿se requeriría un certificado valido?
¿Quien podria hacerlo aparte de los gobiernos de cualquier pais?
Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios
Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios
Google descubre que el gobierno francés utilizaba ...
redeszone.net¿se refieren en el articulo a esta?
Que por cierto, yo no he instalado
#4
Pillando los archivos a la que apunta la extensión ya desactivada, y subiendolos a virustotal en un zip no detecta ninguno de ellos como malware.
#5 Seguramente, con la distinción de que usa el nombre de una legítima de MS.
La clave es, quien coño va a instalar una extensión con ese nombre. Estas extension ha tenido que ser instalada por algun otro malware o extensión.
#0 #1 #2 #3 #4
Botnet Enlists Firefox Users to Hack Web Sites
http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/
Relacionada (si no me equivoco son distintas extensiones)
Barra para el navegador esclaviza PCs para minar bitcoins
Barra para el navegador esclaviza PCs para minar b...
fayerwayer.com... Entonces te conectas a la pagina de plugins de firefox y te descargas un plugin conocido, valido y no sospechoso. Pero resulta que interceptan la descarga de esa extension valida y te mandan otra que, hace lo mismo para que no sospeches, pero que ademas es un troyano o un agente de una botnet.
Seguro que hay alguna forma más sencilla que esa que dices.
Primero habría que estar suplantando al router hasta que la víctima se descargue un plugin, eso puede suponer mucho tiempo o incluso infinito. Luego, habría que hacer un troyano que se pueda integrar en cualquier plugin automáticamente, y eso tampoco parece fácil.
Creo que sería necesario tener el control de la máquina para poder instalarle el plugin modificado, no se me ocurre otra forma.
#8 Si es verdad que hay muchisimos vectores mucho mas rapidos. Con cualquier vulnerabilidad ni siquiera zero y un enlace llegas mas rapido. Drive by downloads https://www.google.es/#q=drive+by+infection
Ahora yo me tengo que hacer una forense para ver cuando pillé el bicho del articulo este. Que en algun momento, tan amablemente desactivó mozilla.
http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/
No te puedes fiar ni de las tiendas de aplicaciones/extensiones...