En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió literalmente «analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir» se acaba de descubrir que dos plugins infectados con malware para Windows han estado disponibles desde su página oficial.
La fundación Mozilla ha informado que dos complementos «experimentales» para el navegador Firefox contenían troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente. Bifrose se trata de una peligrosa puerta trasera para Windows que suele comunicarse con UDP con su C&C (central de una botnet). LdPinch se trata de un troyano bancario con bastante solera (aparecido en 2003).
Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado. La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema.
Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado).
Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión «estas cosas pasan».
Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010. Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008. Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta «curioso» que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes. Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad.
Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo. Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware.
ssantos@hispasec.com
Más información:
Please read: Security Issue on AMO
http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/
08/05/2008 Un plugin de Firefox infectado con adware es distribuido
desde el sitio oficial
http://www.hispasec.com/unaaldia/3484
Deja una respuesta