Criminosos infectaram mais de 100.000 computadores com extensões de navegador que roubaram credenciais de login, exploraram discretamente criptomoedas e envolveram milhares de pessoas em fraudes de cliques. As extensões maliciosas foram hospedadas na Loja da Web oficial do Google. O golpe estava ativo desde meados de março, com sete extensões maliciosas conhecidas até agora, disseram pesquisadores da empresa de segurança Radware. A equipe de segurança do Google removeu cinco das extensões por conta própria e removeu outras duas depois que a Radware as denunciou. Ao todo, os add-ons maliciosos infectaram mais de 100 mil usuários, dos quais pelo menos um estava dentro de uma “rede bem protegida” de uma empresa global anônima, a Radware. Navegador seguro, link fraco Nos últimos oito meses, as extensões maliciosas do Chrome provaram ser um calcanhar de Aquiles para o navegador mais amplamente utilizado e possivelmente mais seguro da Internet. Em agosto do ano passado, regras frouxas para proteger contas de desenvolvedores de extensões levaram ao comprometimento de duas extensões instaladas em milhões de computadores. Em dois incidentes separados em janeiro, os pesquisadores descobriram pelo menos cinco extensões maliciosas instaladas mais de 500.000 vezes. Há duas semanas, a Trend Micro documentou o retorno do FacexWorm, uma extensão maliciosa que foi identificada pela primeira vez sete meses antes. O Google consegue detectar e remover proativamente muitas extensões maliciosas, conforme evidenciado pela constatação da Radware de que cinco das sete extensões descobertas não estavam mais disponíveis na Chrome Web Store. Mas os hackers continuam em atividade, de modo que especialistas alertam que a propagação de extensões contaminadas persistirá. “À medida que esses malwares se espalham, continuaremos tentando identificar novas maneiras de recuperar os ativos roubados”, escreveram os pesquisadores da Radware, Adi Raff e Yuval Shapira, referindo-se aos criminosos por trás do último lote de extensões. “Esses grupos criam continuamente novos malwares e mutações para contornar os controles de segurança”. Uma porta-voz do Google disse que funcionários da empresa removeram as extensões da Chrome Web Store e os navegadores dos usuários infectados horas depois de receber o relatório. As extensões estavam sendo instaladas via links enviados pelo Facebook que levavam as pessoas a uma falsa página do YouTube que pedia a instalação de uma extensão. Depois de instaladas, as extensões executavam o JavaScript que tornava os computadores parte de uma botnet. A botnet roubava as credenciais do Facebook e do Instagram e coletava detalhes da conta do Facebook da vítima. A botnet então usava essa informação roubada para enviar links para amigos da pessoa infectada. Esses links enviavam as mesmas extensões maliciosas. Se algum desses amigos seguisse o link, todo o processo de infecção começava de novo. A botnet também instalou mineiros de criptomoedas que extraíram as moedas digitais monero, byecoin e electroneum. Nos últimos seis dias, os atacantes parecem ter gerado cerca de US $ 1 mil em moeda digital (R$ 3,5 mil). Para impedir que os usuários removessem as extensões maliciosas, os invasores automaticamente fechavam a guia de extensões toda vez que eram abertas e colocavam na lista negra uma variedade de ferramentas de segurança fornecidas pelo Facebook e pelo Google. As sete extensões disfarçadas de extensões legítimas são estas: Nigelify PwnerLike Alt-j Correção de caso Divindade 2 Pecado Original: Wiki Skill Popup Keeprivate iHabno As extensões chamaram a atenção dos pesquisadores da Radware por meio de algoritmos de aprendizado de máquina que analisavam os logs de comunicação da rede protegida que estava infectada. Os pesquisadores da Radware disseram acreditar que o grupo por trás das extensões nunca foi detectado antes. Dado o sucesso regular em obter extensões maliciosas hospedadas na Chrome Web Store, não seria surpreendente se o grupo atacasse novamente. *** Compartilhe com seus amigos!