Quase uma dúzia de extensões maliciosas com 1,7 milhão de downloads na Chrome Web Store da Google podem rastrear usuários, roubar atividade do navegador e redirecionar para endereços web potencialmente inseguros.
A maioria dos add-ons oferece a funcionalidade anunciada e se apresenta como ferramentas legítimas, como seletor de cores, VPNs, amplificadores de volume e teclados de emojis.
Pesquisadores da Koi Security, uma empresa que fornece uma plataforma para software de autosserviço de segurança, descobriram as extensões maliciosas na Chrome Web Store e as reportaram à Google.
Algumas das extensões não estão mais presentes, mas muitas delas continuam disponíveis.
Muitas dessas extensões são verificadas, possuem centenas de avaliações positivas e estão em destaque na Chrome Web Store, enganando os usuários sobre sua segurança.
Os usuários devem verificar os seguintes add-ons no navegador Chrome e removê-los o quanto antes:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
Uma delas, ‘Volume Max — Ultimate Sound Booster’, também foi sinalizada por pesquisadores da LayerX no mês passado, que alertaram sobre seu potencial para espionar usuários; mas nenhuma atividade maliciosa pôde ser confirmada na época.
Segundo os pesquisadores, a funcionalidade maliciosa é implementada no background service worker de cada extensão usando a Chrome Extensions API, registrando um listener que é acionado toda vez que um usuário navega para uma nova página web.
O listener captura a URL da página visitada e exfiltra a informação para um servidor remoto junto com um ID de rastreamento único para cada usuário.
O servidor pode responder com URLs de redirecionamento, sequestrando a atividade de navegação do usuário e potencialmente levando-o a destinos inseguros que podem viabilizar ataques cibernéticos.
Embora a possibilidade exista, deve-se notar que a Koi Security não observou redirecionamentos maliciosos em seus testes.
Além disso, o código malicioso não estava presente nas versões iniciais das extensões, mas foi introduzido posteriormente por meio de atualizações.
O sistema de autoatualização da Google implanta as versões mais recentes silenciosamente para os usuários, sem requerer qualquer aprovação ou interação do usuário.
Considerando que algumas dessas extensões foram seguras por anos, é possível que tenham sido sequestradas/comprometidas por atores externos que introduziram o código malicioso.
O site BleepingComputer contatou vários publicadores para questionar sobre essa possibilidade, mas ainda não recebeu resposta de nenhum deles.
Antes de publicar este artigo, os pesquisadores da Koi Security descobriram que criminosos cibernéticos também implantaram extensões maliciosas na loja oficial para o Microsoft Edge, que mostra um total de 600.000 downloads.
"Combinadas, essas dezoito extensões infectaram mais de 2,3 milhões de usuários em ambos os navegadores, criando uma das maiores operações de sequestro de navegador que documentamos", dizem os pesquisadores.
Eles recomendam que os usuários removam todas as extensões listadas imediatamente, limpem os dados de navegação para eliminar quaisquer identificadores de rastreamento, verifiquem o sistema em busca de malware e monitorem as contas para detecção de atividades suspeitas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...