Três milhões de usuários do Google Chrome e do Microsoft Edge correm o risco de roubo de dados e phishing, segundo pesquisadores de segurança da Avast, que descobriram um malware oculto em várias extensões dos navegadores. Eles constataram ao menos 28 extensões de terceiros que continham JavaScript malicioso que pode baixar malware.
As extensões foram desenvolvidas principalmente para ajudar os usuários a baixar vídeos de alguns dos sites mais populares do mundo, incluindo Facebook, Vimeo, Instagram e YouTube. Avast afirma que o objetivo dos hackers por trás do esquema pode ser monetizar o tráfego, forçando os usuários a visitar sites de terceiros, pelos quais eles serão pagos, ouredirecionar o tráfego para anúncios ou sites de phishing e roubar as informações sigilosas como datas de nascimento, endereços de e-mails e dispositivos ativos.
As extensões que ajudam os usuários a baixar vídeos das plataformas incluem Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock e outras extensões dos navegadores Google Chrome e do Microsoft Edge. Os pesquisadores identificaram um código malicioso nas extensões baseadas em Javascript, que permite que as extensões baixem mais malware no PC do usuário.
Os usuários também relataram que essas extensões estão manipulando sua experiência na internet e os estão redirecionando para outros sites. Sempre que um usuário clica em um link, as extensões enviam informações sobre o clique para o servidor de controle do invasor, o qual pode, opcionalmente, enviar um comando para redirecionar a vítima do link real de destino para um novo URL sequestrado, antes de redirecioná-la posteriormente para o site oficial que desejava visitar. A privacidade do usuário é comprometida por este procedimento, já que um registro de todos os cliques está sendo enviado para esses sites intermediários de terceiros.
Veja isso
Espionagem com Chrome pode ter afetado mais de 33 milhões de usuários
Microsoft alerta sobre malware que infecta navegadores de internet
Os cibercriminosos também exfiltram e coletam as datas de nascimento do usuário, endereços de e-mail e informações do dispositivo, incluindo hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional, navegador usado e sua versão, até mesmo endereços IP (que podem ser utilizados para encontrar o histórico de localização geográfica aproximada do usuário).
Sites de phishing
Os pesquisadores da Avast acreditam que o objetivo por trás disso é monetizar o próprio tráfego. Para cada redirecionamento para um domínio de terceiros, os cibercriminosos receberiam um pagamento. No entanto, a extensão também tem a capacidade de redirecionar os usuários para anúncios ou sites de phishing.
“Nossas hipóteses são que as extensões foram criadas deliberadamente com o malware embutido ou o autor esperou que as extensões se tornassem populares e, em seguida, enviou uma atualização contendo o malware. Também pode ser que o autor vendeu as extensões originais para outra pessoa depois de criá-las e, então, o comprador introduziu o malware mais tarde”, diz Jan Rubín, pesquisador de malware da Avast.
A equipe de inteligência de ameaças da Avast começou a monitorar essa ameaça em novembro, mas acredita que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de link desde dezembro de 2018.
No momento, as extensões infectadas ainda estão disponíveis para download. A Avast contatou as equipes da Microsoft e do Google Chrome para denunciá-las. Tanto a Microsoft quanto o Google confirmaram que estão investigando o problema. Enquanto isso, a Avast recomenda que os usuários desabilitem ou desinstalem as extensões por enquanto, até que o problema seja resolvido e, em seguida, digitalizem e removam o malware.
Abaixo, a lista de extensões detectadas afetadas: