[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

chrome-3729545_1280-1.jpg

Espionagem com Chrome pode ter afetado mais de 33 milhões de usuários

O Google removeu dezenas de extensões maliciosas e falsas do Chrome que estão sendo usadas em uma campanha global de espionagem. As extensões foram baixadas por milhões de usuários antes da remoção, revela Awake Security, fornecedora de solução de segurança baseada em inteligência artificial para detectar e responder a ameaças.

A empresa detectou 111 extensões maliciosas nos últimos três meses. Quando notificou o Google sobre o problema no mês passado, a Awake afirmou que 79 estavam presentes na Chrome Web Store, de onde foram baixadas quase 33 milhões de vezes antes da remoção. A empresa de segurança publicou listas TSV de IDs para essas extensões maliciosas do Chrome.

Algumas das extensões maliciosas ignorariam completamente a Chrome Web Store, por meio de um pacote independente do Chromium incluído em outras extensões, que leva os usuários a adotar o padrão de um novo navegador não autorizado quando solicitado na primeira execução. Ao contrário do Chrome, este navegador baseado em Chromium aceita extensões de qualquer fonte, não apenas na Chrome Web Store.

“Esses navegadores não autorizados pareciam ter sido instalados por programas potencialmente indesejados já presentes no sistema da vítima. Isso é muito eficaz, já que os navegadores não autorizados são independentes, ou seja, além da capacidade de executar um programa localmente, são necessárias muito poucas permissões”, explica a Awake.

A campanha, que impactou usuários em várias regiões do mundo e segmentos da indústria, explora o registro de domínio na internet e a dependência dos usuários de navegadores para espioná-los e roubar dados em massa. “Essas extensões podem capturar telas, ler a área de transferência, coletar tokens de credenciais armazenados em cookies ou parâmetros, capturar a digitação das teclas do computador do usuário (como senhas), etc.”, diz o relatório que detalha a investigação.

Depois de analisar mais de 100 redes de serviços financeiros, petróleo e gás, mídia e entretenimento, saúde e produtos farmacêuticos, varejo, alta tecnologia, ensino superior e organizações governamentais, a Awake descobriu que os criminosos por trás dessas atividades estabeleceram uma posição persistente em quase todas as redes.

Veja isso
Zero day descoberto no Chrome permitia ataque ao Windows
Vulnerabilidades no Google Chrome põe em risco dispositivos

A investigação da empresa revelou que a atividade criminosa foi estimulada pelo registrador de domínio na internet CommuniGal Communication Ltd. (GalComm): 15.160 dos 26.079 domínios ​​registrados pela empresa são maliciosos ou suspeitos. E muitos dos 15.160 domínios únicos suspeitos ou maliciosos identificados foram invadidos — eles foram registrados no GalComm imediatamente após expirarem.

Os criminosos fizeram um grande esforço para manter suas atividades ocultas e garantir uma taxa de sucesso de quase 100%. Eles não apenas conseguiram ignorar várias camadas de controle de segurança nas empresas, evitando os proxies de segurança, antivírus e outras defesas, mas também evitaram que seus domínios fossem rotulados como maliciosos pela maioria das soluções de segurança.

“Um motivo para isso parece ser um método inteligente para filtrar/bloquear solicitações usadas por essa campanha de ataque. Se o cliente estiver se conectando ao domínio a partir de uma rede de banda larga, cabo, fibra, móvel ou tipo de rede ISP de linha fixa, ele receberá a carga útil maliciosa. Isso permite que todos os usuários e empresas passem pelo filtro”, explica o relatório. “Se a conexão vier de um data center, serviço de hospedagem na web, redes de trânsito, VPN ou proxy, a solicitação será redirecionada para uma página benigna”.

O relatório sugere que a campanha pode estar ligada à atividade patrocinada por algum governo. Com agências de notícias internacionais.