Mais de 500 extensões para o Google Chrome foram recentemente descobertas como parte de um esquema malicioso na Chrome Web Store. Estas extensões, algumas com milhares de instalações, estariam a enviar conteúdo pessoal dos utilizadores e os seus hábitos de navegação para diversos servidores espalhados a nível mundial.
Este caso foi descoberto pela investigadora de segurança Jamila Kaya , da empresa Duo, que identificou inicialmente mais de 71 extensões na Chrome Web Store, com 1.7 milhões de instalações, que estariam a recolher abusivamente dados dos utilizadores e a participar em campanhas de malvertising. Mais tarde este número acabou por aumentar para as adicionais 430 extensões, todas disponíveis na loja da Google – que foram entretanto removidas.
De acordo com a investigador, as extensões encontravam-se a ocultar as suas atividades maliciosas diretamente no código, pelo que não se trata apenas de um erro ou falha nos programadores, mas sim algo que foi especificamente criado para esta tarefa e implementado nas extensões deliberadamente.
Estas extensões encontravam-se a comunicar com uma infraestrutura em controlo dos atacantes, filtrando as atividades online dos utilizadores sem que estes tivessem conhecimento, além de poderem também apresentar publicidade maliciosa nos sites que estes visitassem.
Todo o processo estava a ser realizado com o objetivo de evitar a deteção por parte dos sistemas de segurança da Google, com o código encriptado e a enviar o mínimo de informação possível no processo – ainda assim o suficiente para poder comprometer as informações dos utilizadores.
As extensões tentavam evitar a deteção ao redirecionar os pedidos por diferentes servidores espalhados a nível mundial, em alguns dos casos com mais de 30 redireccionamentos. Isto dificultava a tarefa de identificar o destino dos dados, mas uma vasta maioria dos sites e domínios que estavam a ser utilizados para redireccionamento também teriam sido marcados como maliciosos em diferentes ferramentas de analise online – incluindo sistemas como o Google Safe Browsing.
Os investigadores acreditam que a campanha de malvertising nestas extensões encontrava-se ativa desde meados de Janeiro de 2019, e tinha vindo a crescer rapidamente nos meses seguintes, sobretudo entre Março e Junho do ano passado. Apesar de as extensões descobertas terem utilidades diferentes, o código fonte das mesmas era praticamente idêntico, o que indica que também terão sido criadas pela mesma pessoa ou entidade.
Seja como for, a Google procedeu com a remoção de todas as extensões da Chrome Web Store, e os utilizadores que as tenham instalado deverá ter as mesmas automaticamente removidas da próxima ver que arrancarem o Chrome.
Nenhum comentário
Seja o primeiro!