En las últimas horas nuestro Laboratorio ha encontrado extensiones de Firefox que simulan ser aplicaciones útiles, pero que en realidad son keyloggers que envían a un delincuente la información tipeada por el usuario.

Las extensiones falsas encontradas corresponden a un juego de ajedrez (chess) y a un administrador de descargas. Los archivos XPI se instalan normalmente en Firefox y a partir de ese momento la información que se tipee será robada por el keylogger.

El contenido del archivo .xpi es el siguiente:

Extensión de Firefox

Es importante destacar que el usuario no ve este contenido a menos que descargue el archivo y lo abra con un compresor como WinRAR. El archivo ejecutable señalado corresponde a un troyano que ESET NOD32 detecta gracias a su Heurística Avanzada:

Heuristica de ESET NOD32

Estas extensiones no son oficiales de la Fundación Mozilla y, al momento de escribir el presente, los archivos podí­an ser descargados desde un sitio de descargas muy popular.

Una vez instalada, la extensión aparece como cualquier otra extensión normal del navegador:

Extensión de Firefox

No es la primera vez que este mecanismo es utilizado y por eso es importante ser consciente de que actualmente cualquier archivo puede ser dañino y utilizado para propagar malware.

Actualización 13/08/2008: la Fundación Mozilla también comenta sobre este tipo de extensiones maliciosas.

Cristian