O Google Chrome é alvo de um grande ataque cibernético de origem russa. Os pesquisadores descobriram mais de 100 extensões maliciosas na Chrome Web Store. Eles são programados para roubar dados e assumir o controle de suas contas online.
Uma vasta campanha maliciosa acaba de ser descoberta na Chrome Web Store, a loja oficial de extensões do Google Chrome. Pesquisadores da empresa de segurança Socket identificaram de fato 108 extensões fraudulentas na plataforma. Todas as extensões fixadas fazem parte de uma única campanha coordenada. Seu objetivo: roubar dados e permitir que cibercriminosos assumam o controle de suas contas online. Extensões “totalizando cerca de 20.000 instalações na Chrome Web Store”.
As extensões apresentam-se como soluções legítimas, como jogos de casino, assistentes do YouTube ou TikTok, clientes do Telegram ou tradutores. Para não levantar suspeitas nos alvos, as extensões funcionam de forma completamente normal, pelo menos na aparência. Uma vez instalados no Chrome, eles oferecerão de fato todas as funcionalidades planejadas, o que ajudará a acalmar a desconfiança do internauta. Algumas dessas extensões têm até classificações boas ou médias na Chrome Web Store. Eles foram lançados por cinco nomes de desenvolvedores diferentes.
Leia também: Atualização de emergência no Google – 8 novas falhas do Chrome colocam o navegador em risco
Roubo de dados, hacks de contas e injeções de código
Várias das extensões analisadas são ativadas automaticamente quando o navegador é iniciado, sem exigir interação do usuário. Graças a uma função oculta, eles receberão instruções dos cibercriminosos através de servidores remotos. É assim que as extensões saberão exatamente o que devem fazer.
Nos bastidores, as extensões vão se recuperar Tokens de autenticação do Google. Esses tokens são usados para conectar serviços de terceiros a uma conta do Google sem necessariamente precisar da senha. Usando esses tokens roubados, o invasor pode acessar o Gmail, o Google Drive ou outros serviços vinculados à conta do Google, fingindo ser o usuário. Em detalhes, “54 extensões roubam a identidade da conta Google do usuário na primeira vez que ele clica no botão de login”.
Algumas das extensões fixadas pelo Socket chegam ao ponto de injetar código HTML malicioso diretamente nas páginas da web visitadas pelo usuário da Internet. Este código foi desenvolvido para modificar a exibição do site, redirecionar o usuário para plataformas armadilhadas ou analisar em tempo real tudo o que ele faz no Chrome. Outros recursos das extensões incluem exibindo anúncios, extrair outros dados ou executar scripts. O endereço de e-mail, nome, foto de perfil e ID da conta Google são algumas das informações mais procuradas pelos hackers.
Em alguns casos, essas extensões podem substituir sessões de serviços onlinecomo o Telegram Web, utilizando dados de conexão armazenados no navegador, como cookies. Na verdade, o hacker pode exibir uma conta fictícia, sob seu controle, em vez da conta do usuário. Esta dica obviamente permite que nomes de usuário e senhas sejam sequestrados.
Leia também: Um ataque cibernético “discreto” tem como alvo o Chrome – um vírus encontrou uma maneira de roubar a chave dos seus dados
A lista de extensões para desinstalar com urgência
Conforme explicam os pesquisadores, tudo sugere que a operação está ligada a malware russo disponível por meio de uma assinatura de malware como serviço (MaaS). Várias pistas apontam para infraestruturas pertencentes a cibercriminosos russos. Em particular, encontramos comentários escritos em russo no código de extensão.
Os pesquisadores do Socket relataram oficialmente esta campanha ao Google, fornecendo os IDs exatos das extensões afetadas e evidências de seus crimes. Apesar desses relatórios, várias extensões permanecem disponíveis na Chrome Web Store. Não é de surpreender que os especialistas recomendem desinstalar todas as extensões identificados por eles. Sem mais delongas, aqui está a lista completa de 108 extensões para remover do seu navegador:
Em seguida, os internautas são convidados a verificar se suas contas online não foram comprometidas e alterar suas senhas. De forma mais geral, o Socket aconselha fortemente os usuários a desinstalar extensões raramente usadas, especialmente aquelas que requerem muitas autorizações. Por fim, reserve um tempo para ativar a autenticação de dois fatores em todas as suas contas e adquira o hábito de limitar o número de extensões instaladas no Chrome. Isso reduzirá facilmente sua superfície de ataque.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
soquete