Mais de 500 extensões maliciosas do Google Chrome removidas da Web Store

Mais de 500 extensões maliciosas do Google Chrome removidas da Web Store 1

O Google removeu mais de 500 extensões maliciosas de sua Chrome Web Store depois que pesquisadores de segurança descobriram que as extensões estavam injetando anúncios maliciosos nas sessões de navegação dos usuários e enviando dados de navegação privada para servidores sem seu consentimento.

A investigação de dois meses foi realizada pelo pesquisador de segurança independente Jamila Kaya e pela equipe Duo Security da Cisco, que compartilhou as descobertas com a ZDNet.

De acordo com Duo, a campanha de malware é “uma campanha em grande escala de extensões imitadoras do Chrome que infectaram os navegadores dos usuários”. Os pesquisadores descobriram que a operação de malware estava ativa há pelo menos dois anos, com atividades potenciais datando do início de 2010. Eles também identificaram 70 extensões da Chrome Web Store que foram instaladas por mais de 1.7 milhões de usuários.

Leia tambĂ©m – Melhores alternativas do Google Chrome

Kaya, responsável por desenterrar a operação, fez uso do CRXcavator, serviço de análise de extensões do Chrome, para as descobertas iniciais. Ela descobriu inicialmente um cluster de extensões que rodam em cima de uma base de código quase idêntica. Mais tarde, Kaya se juntou a outros pesquisadores do Duo para descobrir mais evidências.

O código malicioso injetado pelas extensões foi configurado para ativar sob certas condições e redirecionar os usuários a sites específicos para roubar seus dados privados sem o conhecimento do usuário. Os plug-ins então redirecionavam os navegadores para servidores de controle codificados para acessar instruções adicionais, listas de alimentação de anúncios, locais para carregar dados e domínios para futura malvertising.

Ă€s vezes, as extensões nĂŁo apenas levavam os usuários a sites legĂ­timos como Macy’s, Dell ou BestBuy por meio de links afiliados, mas tambĂ©m os navegavam para sites de download de malware conhecido ou páginas de phishing.

“No caso relatado aqui, os criadores da extensão do Chrome fizeram especificamente extensões que ofuscaram a funcionalidade de publicidade subjacente dos usuários”, escreveu Kaya e Duo Security Jacob Rickerd em um post de blog. “Isso foi feito para conectar os clientes do navegador a uma arquitetura de comando e controle, exfiltrar dados de navegação privada sem o conhecimento do usuário, expô-lo ao risco de exploração por meio de fluxos de publicidade e tentar escapar dos mecanismos de detecção de fraude da Chrome Web Store. ”

Os pesquisadores relataram em particular suas descobertas ao Google, após o que o gigante das buscas realizou sua própria investigação. A empresa pesquisou todo o corpus da Chrome Web Store e removeu mais de 500 extensões relacionadas. O Google também desativou as extensões dentro dos navegadores de todos os usuários e as marcou como “maliciosas” para que os usuários soubessem que deveriam excluí-las e não reativá-las.

“Agradecemos o trabalho da comunidade de pesquisa e, quando somos alertados sobre extensões na Web Store que violam nossas políticas, agimos e usamos esses incidentes como material de treinamento para melhorar nossas análises automatizadas e manuais”, disse um porta-voz do Google. “Fazemos varreduras regulares para encontrar extensões usando técnicas, códigos e comportamentos semelhantes e retiramos essas extensões se violarem nossas políticas.”

Duo publicou um resumo das extensões maliciosas que faziam parte do esquema de malvertising. A empresa de segurança recomenda aos usuários auditar regularmente as extensões instaladas em seus navegadores e remover extensões que não reconhecem ou não usaram recentemente.

“Como parte da boa higiene de segurança, recomendamos aos usuários auditar regularmente quais extensões instalaram, remover aquelas que não usam mais e relatar aquelas que não reconhecem. Estar mais atento e ter acesso a informações mais facilmente acessíveis sobre as extensões pode ajudar a manter a segurança das empresas e dos usuários ”, disse Duo Security.