Após descobrir em dezembro passado 28 extensões maliciosas do Google Chrome e do Microsoft Edge, o Laboratório de Ameaças da Avast revela que essas extensões procuram roubar informações sigilosas das contas do Google, sequestrar cliques e modificar os resultados de pesquisas, enviando as vítimas para sites ou propagandas falsos. Entre as descobertas dos especialistas da Avast está uma nova tática para ocultar o tráfego de Comando e Controle (C&C), tentando fazer com que pareça tráfego do Google Analytics. Foram também incluídas táticas para ocultar-se de desenvolvedores e analistas de malware.
Veja isso
Extensões maliciosas do Chrome e do Edge afetam milhões de usuários
Espionagem com Chrome pode ter afetado mais de 33 milhões de usuários
De acordo com a Avast, os ataques demoravam dias e aconteciam da seguinte forma:
- A vítima baixa uma extensão maliciosa
- Três dias após a instalação, o código malicioso usa um canal secreto para baixar um downloader intermediário
- O downloader intermediário baixa um payload CacheFlow;
- Cada vez que o navegador é executado, o payload faz o seguinte:
- Executa verificações de desenvolvedor e anti-análise
- Faz tentativas para roubar informações sigilosas da conta do Google do usuário
- Injeta código em cada nova aba
- Rouba os cliques do usuário e modifica os resultados de suas pesquisas
A Avast ressalta que pelo menos 3 milhões de usuários em todo o mundo baixaram e instalaram as extensões maliciosas para o Google Chrome. Com base em sua telemetria, a companhia ainda aponta que os três principais países onde os usuários baixaram e instalaram as extensões CacheFlow foram: Brasil, Ucrânia e França.
O levantamento da Avast mostra que as extensões exibiram um nível bastante alto de furtividade ao empregar muitos truques, para diminuir as chances de detecção. Em primeiro lugar, os cibercriminosos evitaram infectar usuários que provavelmente seriam desenvolvedores web. Eles determinaram isso por meio das extensões que o usuário instalou ou verificando se o usuário acessou sites hospedados localmente. Além disso, as extensões atrasaram sua atividade maliciosa por pelo menos três dias após a instalação, para evitar um alerta precoce. Quando o malware detectava que as ferramentas do desenvolvedor do navegador estavam abertas, ele desativava imediatamente sua funcionalidade maliciosa. CacheFlow também verificou todas as consultas de pesquisa do Google e se o usuário estava pesquisando por um dos domínios de Comando e Controle (C&C) do malware, então, relatava isso ao seu servidor C&C e podia também desativar a si próprio. De acordo com análises de usuários na Chrome Web Store, parece que CacheFlow estava ativo pelo menos desde outubro de 2017.
