Duas extensões maliciosas do Chrome foram pegas em flagrante roubando seus dados. Eles são capazes de desviar todo o seu tráfego web para servidores controlados por hackers, o que possibilita a interceptação de senhas, identificadores e dados bancários.
Duas extensões maliciosas do Chrome foram descobertas por pesquisadores de segurança do Socket.dev. As extensões estão disponíveis na Chrome Web Store, loja oficial de extensões do Google, pelo menos desde 2017. Ambas intituladas Ônibus Fantasmaeles foram colocados online pelo mesmo desenvolvedor. Apresentam-se como plugins VPN que também permitem testar a conectividade e velocidade da rede Internet. Estas não são soluções gratuitas. Os desenvolvedores oferecem seus serviços por meio de uma assinatura, que varia de US$ 1,40 a US$ 13,60.
“Esta duração de atividade de mais de oito anos, combinada com o facto de a infraestrutura estar sempre online, mostra que se trata de um ator malicioso bem estabelecido que realiza operações criminosas de longo prazo”analisa Socket.dev.
Leia também: 7 anos de espionagem no Chrome – 4,3 milhões de usuários da Internet foram hackeados sem o conhecimento do Google
Roubo de senhas, logins e dados bancários no Chrome
Depois de instaladas, as extensões serão interceptar todo o tráfego da web do usuário e redirecioná-los para servidores proxy controlados pelo invasor. Ao interceptar o tráfego, os hackers conseguem capturar uma montanha de dados em trânsito. É o caso de nomes de usuário, senhas, informações de cartão de crédito e outros dados de pagamento inseridos em formulários, dados pessoais ou cookies de sessão. Estamos, portanto, a falar de uma operação de roubo de dados em grande escala.
O código malicioso que causa o redirecionamento do tráfego da web foi cuidadosamente ocultado pelos desenvolvedores. Na verdade, está escondido numa biblioteca muito comum, nomeadamente jQuery. Ao prefixar o malware ao arquivo jQuery, o código malicioso passou despercebido e conseguiu evitar a detecção pelos serviços do Google.
Leia também: Promovida pelo Google, esta extensão do Chrome espiona suas conversas com ChatGPT, Gemini e 8 outras IA
Um modo inteligente para passar despercebido
Para evitar serem detectadas, as extensões possuem um modo de redirecionamento que pode ser descrito como inteligente. O código malicioso está realmente programado para interceptar tráfego de mais de 170 domínioscom exceção de alguns sites. As extensões não interceptam o tráfego de redes locais, como as de uma empresa. Esta precaução evita atrasos e interrupções que podem levar à detecção de comportamentos anormais. Obviamente, os hackers querem impedir que o usuário perceba alguma coisa.
Esses “as extensões têm atualmente mais de 2.180 usuários e ainda estão ativas”lamenta Socket.dev. As extensões visam principalmente usuários chineses. Não é novidade que o Google foi alertado sobre a situação.
Para evitar cair em uma armadilha, aconselhamos os internautas a não instalarem extensões desconhecidas. Use extensões do Chrome de editores confiáveis. Além disso, sempre consulte análises e comentários antes de instalar uma extensão em seu navegador. Por fim, faça a limpeza regularmente através chrome://extensions e remova tudo o que não seja mais usado ou não seja claramente reconhecido.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.