Quando pensamos em malware, imaginamos ficheiros executáveis suspeitos ou anexos de email duvidosos. Raramente olhamos para o ícone de uma extensão e pensamos "isto pode ser perigoso". No entanto, uma nova campanha maliciosa apelidada de "GhostPoster" está a fazer exatamente isso: a esconder código malicioso dentro das imagens PNG dos logótipos de extensões para o navegador, afetando milhares de utilizadores.
Segundo uma investigação recente da Koi Security, esta campanha conseguiu infetar mais de 50.000 utilizadores através de extensões aparentemente inofensivas, que vão desde bloqueadores de anúncios a ferramentas de tradução.
O perigo escondido na imagem
A técnica utilizada, conhecida como esteganografia, permite aos atacantes esconder código JavaScript dentro dos dados brutos da imagem do logótipo da extensão. Para o utilizador comum e para muitos sistemas de segurança automáticos, o ficheiro parece ser apenas uma imagem PNG normal. No entanto, quando a extensão é carregada no Firefox, este código é extraído e executado.
O que torna o "GhostPoster" particularmente insidioso é a sua paciência. O código malicioso não entra em ação imediatamente; ele espera cerca de 48 horas após a instalação antes de tentar contactar o servidor de comando e controlo. Além disso, para evitar a deteção por ferramentas de monitorização de tráfego, o malware só tenta descarregar a sua carga útil (payload) principal em cerca de 10% das tentativas.
Uma vez ativo, este "backdoor" concede aos atacantes um nível de acesso privilegiado ao navegador da vítima. As capacidades identificadas incluem o desvio de links de afiliados em sites de comércio eletrónico (para roubar comissões), a injeção de código de rastreio do Google Analytics, a remoção de cabeçalhos de segurança e até mecanismos para contornar sistemas CAPTCHA.
Lista de extensões a remover imediatamente
Se utiliza o navegador da Mozilla, é crucial verificar se tem alguma destas extensões instalada. Embora muitas tenham nomes genéricos, devem ser removidas de imediato:
free-vpn-forever
screenshot-saved-easy
weather-best-forecast
crxmouse-gesture
cache-fast-site-loader
freemp3downloader
google-translate-right-clicks
google-traductor-esp
world-wide-vpn
dark-reader-for-ff
translator-gbbd
i-like-weather
google-translate-pro-extension
谷歌-翻译
libretv-watch-free-videos
ad-stop
right-click-google-translate
Muitas destas extensões prometiam funcionalidades populares, como serviços de VPN gratuitos ou melhorias na tradução de páginas, servindo de isco para atrair vítimas.
Resposta da Mozilla e recomendações
A boa notícia é que a equipa da Mozilla agiu rapidamente após a denúncia. Todas as extensões identificadas foram removidas da loja oficial de Add-ons (AMO). A empresa afirmou que prioriza a segurança dos utilizadores e que atualizou os seus sistemas automatizados para detetar e bloquear ataques semelhantes no futuro.
Embora o malware analisado não pareça estar focado no roubo direto de palavras-passe bancárias nesta fase, o acesso que garante ao navegador é suficientemente grave para justificar precauções extra. Se instalou alguma destas extensões recentemente, além de a desinstalar, recomenda-se que faça uma verificação de segurança ao seu sistema e considere alterar as palavras-passe das suas contas mais sensíveis como medida de precaução.
Nenhum comentário
Seja o primeiro!