Três milhões de usuários fizeram downloads de extensões maliciosas Chrome e MS Edge

Usuários do Google Chrome e do Microsoft Edge podem correr o risco de roubo de dados e phishing devido a malware oculto em 28 extensões destes browsers.

Malware escondido em 28 extensões de terceiros para o Google Chrome e Microsoft Edge redireciona os usuários para anúncios ou sites de phishing, conforme alerta da Avast. As extensões foram aparentemente projetadas para ajudar os usuários a baixar vídeos de plataformas populares, tais como Facebook, Vimeo, Instagram, VK e outros. O código identificado nessas extensões baseadas em JavaScript foi criado para permitir o download de malware nos computadores dos usuários.

Além disso, essas extensões foram projetadas para redirecionar os usuários a outros sites. Assim que o usuário clica em um link, as informações sobre a ação são enviadas ao servidor de controle do invasor, que pode responder com um comando para redirecionar para uma URL intermediária (processo conhecido como URL Hijacking) antes de redirecionar novamente para o site que deseja visitar. Além de obter um registro de todos os cliques do usuário no navegador, os invasores podem exfiltrar informações pessoais e informações das máquinas infectadas.

O malware também implementa técnicas razoavelmente sofisticadas de evasão. Por exemplo, se o usuário pesquisar um dos domínios do malware ou se for um desenvolvedor da web, nenhuma atividade maliciosa será realizada. Segundo a Avast, “isso evita chamar a atenção de pessoas mais habilitadas em desenvolvimento web, pois elas poderiam descobrir mais facilmente o que as extensões estão fazendo em segundo plano”.

No momento, não está claro se as extensões foram criadas deliberadamente com malware oculto ou se agentes mal-intencionados esperaram que elas se tornassem populares e, em seguida, enviaram uma atualização com malware.

Avast acredita que a operação visa monetizar o tráfego, com os atacantes recebendo o pagamento cada vez que ocorre um redirecionamento para um domínio de terceiros. Além disso, as extensões redirecionam para anúncios ou sites de phishing. A operação parece estar ativa há anos, mas sem ser descoberta. As menções aos sequestros foram observadas já em dezembro de 2018.

Tanto o Google quanto a Microsoft foram informados sobre as descobertas e começaram a remover as extensões problemáticas. Os usuários são aconselhados a desabilitá-los ou desinstalá-los. Uma lista completa das extensões maliciosas está disponível no site do Avast: https://press.avast.com/third-party-browser-extensions-from-instagram-facebook-vimeo-and-others-infected-with-malware.

Informações obtidas/adaptadas de https://www.securityweek.com/millions-users-downloaded-28-malicious-chrome-and-edge-extensions e https://www.infosecurity-magazine.com/news/malicious-chrome-edge-extensions/.