El malware escondido en dos extensiones amenaza a los usuarios de Windows
Mozilla confirmó el jueves por la noche que no había podido detectar malware en un par de complementos de Firefox, que pueden haber infectado hasta a 4.600 usuarios.
Los complementos han sido retirados del sitio oficial de descarga de complementos de Firefox.
De acuerdo con una entrada en el blog Mozilla Add-ons, Sothink Web Video Downloader 4.0 y todas las versiones de Master Filer estaban infectados con troyanos diseñados para secuestrar PC con Windows. Ambos complementos se encontraban en la zona “experimental” del sitio de descarga de complementos de Firefox, donde permanecen las extensiones más nuevas hasta que se someten a un proceso de revisión pública. Para instalar los complementos experimentales, los usuarios de Firefox deben ver y aceptar una advertencia adicional.
Master Filer fue descargado cerca de 600 veces durante cinco meses hasta el 25 de enero, cuando fue retirado del sitio. Sothink Web Video Downloader 4.0 fue descargado unas 4.000 veces entre febrero y mayo de 2008. La versión actualizada de este último, que captura streaming de videos en una variedad de formatos, es la 5,7.
Cualquier usuario de Windows que haya instalado uno de los dos complementos también habría ejecutado silenciosamente el troyano, que luego se infectaría la PC. Los usuarios Mac o Linux de Firefox que hayan instalado el complemento no fueron afectados.
Mozilla reconoció que su proceso de seguridad falló. “[Add-ons] realiza una comprobación de malware en todos los complementos cargados en el sitio, y los bloques de los complementos que se detectan como tales”, decía la entrada en el blog. “Esta herramienta de análisis no pudo detectar el troyano en el Master Filer”. Después de añadir más herramientas de análisis para el proceso, una nueva lectura de todos los complementos descubrió el código de ataque integrado en el Sothink Web Video Downloader 4.0, que fue retirado del sitio de descargas del martes.
Mozilla instó a los usuarios que descargaron el complemento a desinstalarlo, y como ello no remueve al troyano del sistema, también a que ejecuten un análisis de antivirus para detectar y eliminar el malware.
Poco se puede encontrar en la Web sobre el autor de Master Filer, identificado como “haklinim”, poco más que él o ella usó un servidor proxy anónimo en Japón para derivar el tráfico a una biografía del desarrollador, que Mozilla también ha eliminado.
SourceTec Software, que hace el Sothink Web Video Downloader, tiene sede en China, según el número de teléfono que aparece en su sitio web. La empresa no respondió a una solicitud de comentario o una explicación de cómo su complemento estaba infectado.
Mozilla tampoco estuvo disponible tarde el jueves para responder preguntas, incluyendo por qué el complemento Sothink Web Video Downloader no fue detectado en 2008, y si tiene previsto llegar a los usuarios que habían descargado las extensiones contaminadas.
Aunque Mozilla ha eliminado los dos complementos de su sitio de descarga, versiones superiores a la 4.0 del Sothink Web Video Downloader siguen estando disponibles en otros sitios de descarga. No se sabe cuántas copias de la versión 4.0 del complemento fueron descargadas e instaladas desde fuentes diferentes de de Mozilla, como Download.com de Cnet.
Esta no es la primera vez que Mozilla ha pasado por alto el malware en un complemento. En mayo de 2008, admitió que un gusano dentro de un complemento de idioma vietnamita no había sido detectado durante meses, y había sido descargado 17.000 veces. El entonces jefe de seguridad de Mozilla, Windows Snyder, dijo que el impacto en los usuarios había sido “limitado”.
Después del lío del gusano, Snyder dijo que Mozilla aumentaría el número de veces que escanearía los archivos en busca de malware, y también aumentaría la frecuencia de escaneo de todo su catálogo de complementos “para hacer frente a este tipo de casos en el futuro”.