Um ator de ameaças desconhecido foi responsável por criar várias extensões maliciosas do navegador Chrome desde fevereiro de 2024, que se disfarçam como utilitários aparentemente benignos mas incorporam funcionalidades ocultas para exfiltrar dados, receber comandos e executar código arbitrário.
"O ator cria sites que se disfarçam como serviços legítimos, ferramentas de produtividade, assistentes de criação ou análise de anúncios e mídia, serviços de VPN, cripto, banco e mais para direcionar usuários para instalar as extensões maliciosas correspondentes na Chrome Web Store (CWS) do Google", a equipe de Inteligência do DomainTools (DTI) disse em um relatório compartilhado com a imprensa.
Enquanto as extensões do navegador parecem oferecer os recursos anunciados, elas também possibilitam o roubo de credenciais e cookies, sequestro de sessão, injeção de anúncios, redirecionamentos maliciosos, manipulação de tráfego e phishing via manipulação do DOM.
Outro fator que favorece as extensões é que elas são configuradas para conceder a si mesmas permissões excessivas por meio do arquivo manifest.json, permitindo que interajam com todos os sites visitados no navegador, executem código arbitrário obtido de um domínio controlado pelo atacante, realizem redirecionamentos maliciosos e até injetem anúncios.
As extensões também foram encontradas dependentes do manipulador de eventos "onreset" em um elemento temporário do modelo de objeto de documento (DOM) para executar código, provavelmente em uma tentativa de burlar a política de segurança de conteúdo (CSP).
Alguns dos sites-iscas identificados se passam por produtos e serviços legítimos como DeepSeek, Manus, DeBank, FortiVPN e Site Stats para atrair usuários a baixar e instalar as extensões.
Os add-ons prosseguem então para coletar cookies do navegador, buscar scripts arbitrários de um servidor remoto e estabelecer uma conexão WebSocket para atuar como um proxy de rede para roteamento de tráfego.
Atualmente, não há visibilidade sobre como as vítimas são redirecionadas para os sites falsos, mas o DomainTools informou à publicação que isso poderia envolver métodos usuais como phishing e redes sociais.
"Como eles aparecem tanto na Chrome Web Store quanto têm sites adjacentes, eles podem retornar como resultados em buscas na web normais e para buscas dentro da loja Chrome", disse a empresa.
Muitos dos sites-iscas usavam IDs de rastreamento do Facebook, o que sugere fortemente que estão aproveitando os aplicativos do Facebook/Meta de alguma forma para atrair visitantes do site.
Possivelmente através de páginas do Facebook, grupos e até anúncios. Até o momento, não se sabe quem está por trás da campanha, embora os atores de ameaças tenham criado mais de 100 sites falsos e extensões maliciosas do Chrome.
O Google, por sua vez, retirou as extensões.
Para mitigar riscos, aconselha-se que os usuários fiquem com desenvolvedores verificados antes de baixar extensões, revisem as permissões solicitadas, examinem avaliações e evitem usar extensões muito semelhantes às legítimas.
Dito isso, também vale a pena lembrar que as avaliações podem ser manipuladas e artificialmente infladas por filtrar feedback negativo dos usuários.
O DomainTools, em uma análise publicada no mês passado, encontrou evidências de extensões se passando pelo DeepSeek que redirecionavam usuários fornecendo avaliações baixas (1-3 estrelas) para um formulário de feedback privado no domínio ai-chat-bot[.]pro, enquanto enviavam aqueles fornecendo avaliações altas (4-5 estrelas) para a página de avaliação oficial da Chrome Web Store.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...