Extensões de navegadores de terceiros do Instagram, Facebook, Vimeo e outros estão infectados com malware

Pesquisadores de Inteligência de Ameaças da Avast, identificaram um malware oculto em pelo menos 28 extensões de terceiros do Google Chrome e do Microsoft Edge associadas a algumas das plataformas mais populares do mundo. O malware tem a funcionalidade de redirecionar o tráfego do usuário para anúncios ou sites de phishing e roubar as informações sigilosas das pessoas, como datas de nascimento, endereços de e-mails e dispositivos ativos. De acordo com os números de download das lojas de aplicativos, cerca de três milhões de pessoas podem ter sido afetadas em todo o mundo.

As extensões que ajudam os usuários a baixar vídeos dessas plataformas incluem Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock e outras extensões dos navegadores Google Chrome e do Microsoft Edge. Os pesquisadores identificaram um código malicioso nas extensões baseadas em Javascript, que permite que as extensões baixem mais malware no PC do usuário.

Ver mais: F5 lança soluções para infraestrutura 5G nativas da nuvem

Os usuários também relataram que essas extensões estão manipulando sua experiência na Internet e os estão redirecionando para outros sites. Sempre que um usuário clica em um link, as extensões enviam informações sobre o clique para o servidor de controle do invasor, o qual pode, opcionalmente, enviar um comando para redirecionar a vítima do link real de destino para um novo URL sequestrado, antes de redirecioná-la posteriormente para o site oficial que desejava visitar. A privacidade do usuário é comprometida por este procedimento, já que um registro de todos os cliques está sendo enviado para esses sites intermediários de terceiros. Os cibercriminosos também exfiltram e coletam as datas de nascimento do usuário, endereços de e-mail e informações do dispositivo, incluindo hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional, navegador usado e sua versão, até mesmo endereços IP (que podem ser utilizados para encontrar o histórico de localização geográfica aproximada do usuário).

Os pesquisadores da Avast acreditam que o objetivo por trás disso é monetizar o próprio tráfego. Para cada redirecionamento para um domínio de terceiros, os cibercriminosos receberiam um pagamento. No entanto, a extensão também tem a capacidade de redirecionar os usuários para anúncios ou sites de phishing.

“Nossas hipóteses são que as extensões foram criadas deliberadamente com o malware embutido ou o autor esperou que as extensões se tornassem populares e, em seguida, enviou uma atualização contendo o malware. Também pode ser que o autor vendeu as extensões originais para outra pessoa depois de criá-las e, então, o comprador introduziu o malware mais tarde”, diz Jan Rubín, Pesquisador de Malware da Avast.

Ver mais: Avast e Borsetta unem-se à Intel no lançamento do Instituto Privado de Pesquisa Colaborativa em IA

A equipe de Inteligência de Ameaças da Avast começou a monitorar essa ameaça em novembro de 2020, mas acredita que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de link desde dezembro de 2018. Rubín acrescenta: “Os backdoors das extensões estão bem escondidos e as extensões somente começam a exibir um comportamento malicioso dias após a instalação, o que torna difícil que qualquer software de segurança possa descobrir isso”.

O malware tem sido bastante difícil de detectar, pois tem a capacidade de “se esconder”. O pesquisador de malware da Avast, Jan Vojtěšek, destaca que “o vírus detecta se o usuário está pesquisando um de seus domínios ou, por exemplo, se o usuário é um desenvolvedor web e, se for o caso, não realizará nenhuma atividade maliciosa em seus navegadores. Isso evita infectar pessoas mais habilitadas em desenvolvimento web, já que elas poderiam descobrir mais facilmente o que as extensões estão fazendo em segundo plano”.

No momento, as extensões infectadas ainda estão disponíveis para download. A Avast contatou as equipes da Microsoft e do Google Chrome para denunciá-las. Tanto a Microsoft quanto o Google confirmaram que estão investigando o problema. Enquanto isso, a Avast recomenda que os usuários desabilitem ou desinstalem as extensões por enquanto, até que o problema seja resolvido e, em seguida, escaneiem e removam o malware.

Abaixo, a lista de extensões detectadas afetadas:

Tags: