Três extensões maliciosas do Chrome, disfarçadas de VPNs (Redes Privadas Virtuais), foram baixadas 1,5 milhão de vezes, atuando como sequestradoras de navegador, ferramentas de cashback hack e ladrões de dados.
De acordo com a ReasonLabs, que descobriu as extensões maliciosas, elas são disseminadas através de um instalador oculto em cópias piratas de jogos populares como Grand Theft Auto, Assassins Creed e The Sims 4, que são distribuídos em sites de torrent.
A ReasonLabs notificou o Google de suas descobertas, e a gigante de tecnologia removeu as extensões ofensivas da Chrome Web Store, mas apenas depois que estas acumularam um total de 1,5 milhão de downloads.
Especificamente, as extensões maliciosas eram netPlus (1 milhão de instalações), netSave e netWin (500.000 instalações).
A maioria das infecções estão na Rússia e em países como Ucrânia, Cazaquistão e Belarus, então a campanha parece visar usuários que falam russo.
A ReasonLabs descobriu mais de mil arquivos de torrent distintos que fornecem o arquivo de instalador malicioso, que é um aplicativo eletrônico medindo entre 60 MB e 100 MB de tamanho.
A instalação das extensões VPN é automática e forçada, ocorrendo no nível do registro, e não envolve o usuário ou requer qualquer ação da vítima.
Eventualmente, o instalador verifica se há produtos antivírus na máquina infectada, então instala o netSave no Google Chrome e o netPlus no Microsoft Edge, cobrindo qualquer caso de uso.
As extensões maliciosas usam uma interface de usuário de VPN realista com alguma funcionalidade e uma opção de assinatura paga para criar um senso de autenticidade.
A análise do código mostra que a extensão também tem acesso a "abas", "armazenamento", "proxy", "webRequest", "blockRequestWeb", "netRequestDeclarativo", "scripting", "alarmes", "cookies", "aba ativa", "gerenciamento" e "offscreen".
A ReasonLabs ressalta que o abuso da permissão 'offscreen' permite ao malware executar scripts através da API Offscreen e interagir discretamente com o DOM (Modelo de Objeto do Documento) atual da página da web.
Esse extenso acesso ao DOM permite que as extensões roubem dados sensíveis do usuário, realizem sequestros de navegação, manipulem solicitações da web e até desativem outras extensões instaladas no navegador.
Outra função da extensão é desativar outras extensões de cashback e cupom para eliminar a concorrência no dispositivo infectado e redirecionar os lucros para os invasores.
A ReasonLabs relata que o malware tem como alvo mais de 100 extensões de cashback, incluindo Avast SafePrice, AVG SafePrice, Honey: Cupons & Prêmios Automáticos, LetyShops, Megabonus, Assistente de Compras AliRadar, Aconselhamento Yandex.Market, ChinaHelper e Backlit.
A comunicação das extensões com os servidores C2 (comando e controle) envolve troca de dados sobre instruções e comandos, identificação da vítima, exfiltração de dados sensíveis e mais.
Este relatório destaca os enormes problemas de segurança em torno das extensões de navegador, muitas das quais são altamente ofuscadas para tornar mais difícil determinar que comportamento elas exibem.
Por este motivo, você deve verificar rotineiramente as extensões instaladas em seu navegador e verificar as novas avaliações na Chrome Web Store para ver se outras pessoas estão relatando comportamento malicioso.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...