A segurança nas lojas de aplicações e extensões continua a ser um desafio constante, mesmo para gigantes tecnológicas. Investigadores de segurança identificaram recentemente duas extensões disponíveis na Web Store do Google Chrome que, sob a aparência de ferramentas legítimas de proxy, estão a desviar o tráfego dos utilizadores e a roubar dados sensíveis. O mais alarmante é que estas ferramentas maliciosas parecem estar ativas há pelo menos sete anos.
As extensões em questão operam sob o nome "Phantom Shuttle" e são promovidas como utilitários para testar a velocidade da rede e gerir tráfego proxy. Segundo a investigação da plataforma de segurança Socket, ambas as extensões continuam disponíveis para download na loja oficial do navegador, tendo como alvo principal utilizadores na China, especialmente trabalhadores de comércio externo que necessitam de testar a conectividade a partir de diferentes localizações. Curiosamente, o serviço cobra uma subscrição que varia entre 1,4 e 13,6 dólares, o que ajuda a conferir uma falsa sensação de legitimidade ao software.
Um esquema oculto no código
O funcionamento destas ferramentas revela um nível de sofisticação preocupante. Os investigadores da Socket descobriram que o código malicioso está escondido e anexado à biblioteca legítima jQuery, uma prática comum para tentar escapar aos sistemas de deteção automática. Este código contém credenciais "hardcoded" que permitem aos atacantes redirecionar todo o tráfego web da vítima através de servidores proxy sob o seu controlo.
Para evitar levantar suspeitas, as extensões utilizam um esquema de codificação personalizado para ocultar estas credenciais. Uma vez instaladas, elas têm a capacidade de intercetar desafios de autenticação HTTP em qualquer site visitado pelo utilizador. Além disso, utilizam um script de configuração automática para reconfigurar dinamicamente as definições de proxy do Google Chrome, garantindo que o tráfego passa pelas mãos dos criminosos sem que o utilizador se aperceba de qualquer alteração visual ou de desempenho.
Roubo de dados em larga escala
No seu modo de funcionamento padrão, denominado "smarty", estas extensões visam especificamente mais de 170 domínios de alto valor. A lista de alvos inclui plataformas de desenvolvimento, consolas de serviços na nuvem (cloud), redes sociais e portais de conteúdo adulto. Para evitar a interrupção de serviços essenciais e reduzir o risco de deteção, o malware está programado para excluir redes locais e o próprio domínio de comando e controlo da lista de interceção.
Ao atuar como um "man-in-the-middle" (homem no meio), a extensão consegue capturar praticamente qualquer tipo de dados inseridos no navegador. Isto inclui credenciais de login, detalhes de cartões bancários, informações pessoais, tokens de API e cookies de sessão extraídos diretamente dos cabeçalhos HTTP.
Apesar da gravidade da situação, as extensões permaneciam ativas na loja oficial no momento da divulgação do relatório. Conforme relatado pela BleepingComputer, a Google foi contactada sobre a presença destas ameaças na sua plataforma, mas ainda não emitiu um comentário oficial sobre o caso. A recomendação para os utilizadores mantém-se: confiar apenas em extensões de editoras com reputação comprovada e verificar sempre as permissões solicitadas durante a instalação.
Nenhum comentário
Seja o primeiro!