Extensões de navegador perigosas

Como extensões maliciosas roubam criptomoedas, sequestram contas em jogos e redes sociais, manipulam resultados de pesquisa e exibem anúncios intrusivos.

Frequentemente escrevemos aqui nestas páginas do blog sobre como extensões de navegador podem ser muito perigosas. Para ilustrar esse fato, decidimos dedicar um artigo a isso. Nesta postagem, veremos os casos mais interessantes, incomuns, difundidos e perigosos envolvendo extensões maliciosas em 2023. Também discutiremos do que essas extensões foram capazes e, é claro, como se proteger delas.

Extensões do Roblox com backdoor

Para definir o tom e também destacar uma das maiores preocupações associadas às extensões perigosas, vamos começar com uma história que começou no ano passado. Em novembro de 2022, duas extensões maliciosas com o mesmo nome (SearchBlox) foram descobertas na Chrome Web Store, a loja oficial das extensões do navegador Google Chrome. Uma dessas extensões teve mais de 200 mil downloads.

O objetivo declarado das extensões era procurar um jogador específico nos servidores Roblox. No entanto, seu objetivo real era sequestrar as contas dos jogadores do Roblox e roubar seus ativos no jogo. Depois que as informações sobre essas extensões maliciosas foram publicadas no site de notícias BleepingComputer, elas foram removidas da Chrome Web Store e excluídas automaticamente dos dispositivos dos usuários que as instalaram.

SearchBlox: extensões de navegador maliciosas com um backdoor na Chrome Web Store

As extensões maliciosas do SearchBlox publicadas na Google Chrome Web Store sequestraram as contas dos jogadores do Roblox. Fonte

No entanto, a história do Roblox não termina aí. Em agosto de 2023, mais duas extensões maliciosas de natureza semelhante (RoFinder e RoTracker) foram descobertas na Chrome Web Store. Assim como o SearchBlox, esses plugins ofereciam aos usuários a capacidade de procurar outros jogadores nos servidores Roblox, mas na realidade tinham um backdoor embutido neles. A comunidade de usuários do Roblox finalmente conseguiu remover essas extensões da loja também.

RoTracker: outra extensão de navegador maliciosa com um backdoor

A extensão maliciosa RoTracker, também hospedada na Google Chrome Web Store. Fonte

Isso sugere que a qualidade da moderação na plataforma oficial do mundo para baixar extensões do Google Chrome deixa muito a desejar, e é bastante fácil para os criadores de extensões maliciosas enviarem suas criações para lá. Para que os moderadores identifiquem extensões perigosas e as removam da loja, as avaliações dos usuários afetados raramente são suficientes, muitas vezes, isso requer esforços da mídia, pesquisadores de segurança e/ou uma grande comunidade on-line.

Extensões falsas do ChatGPT sequestrando contas do Facebook

Em março de 2023, duas extensões maliciosas foram descobertas na Google Chrome Web Store com poucos dias de diferença, ambas aproveitando o entusiasmo em torno do serviço de IA ChatGPT. Uma delas era uma cópia infectada da extensão “ChatGPT for Google” legítima, oferecendo a integração das respostas do ChatGPT nos resultados do mecanismo de pesquisa.

A extensão “ChatGPT for Google” infectada foi carregada na Chrome Web Store em 14 de fevereiro de 2023. Seus criadores esperaram algum tempo e só começaram a divulgá-lo ativamente precisamente um mês depois, em 14 de março de 2023, usando anúncios do Google Search. Os criminosos conseguiram atrair cerca de mil novos usuários por dia, resultando em mais de 9 mil downloads no momento em que a ameaça foi descoberta.

Versão infectada da extensão ChatGPT for Google

A versão infectada do “ChatGPT for Google” parecia igual à versão real. Fonte

A cópia enganosa do “ChatGPT for Google” funcionava exatamente como a real, mas com uma funcionalidade maliciosa extra: a versão infectada incluía o código adicional projetado para roubar cookies de sessão do Facebook armazenados pelo navegador. Usando esses arquivos, os invasores conseguiram sequestrar as contas do Facebook de usuários que instalaram a extensão infectada.

As contas comprometidas podiam, então, ser usadas para fins ilegais. Como exemplo, os pesquisadores mencionaram uma conta do Facebook pertencente a um fabricante de casas móveis, que começou a promover o conteúdo do ISIS depois de ser invadido.

Conta do Facebook invadida promovendo conteúdo do ISIS

Depois de ser sequestrada, a conta do Facebook começou a promover o conteúdo do ISIS. Fonte

No outro caso, os fraudadores criaram uma extensão completamente original chamada “Quick access to Chat GPT”. Na verdade, a extensão realmente fez o que prometeu, agindo como um intermediário entre os usuários e o ChatGPT usando a API oficial do serviço de IA. No entanto, seu objetivo real era novamente roubar cookies de sessão do Facebook, permitindo que os criadores da extensão sequestrassem contas comerciais do Facebook.

Extensão maliciosa Quick access to Chat GPT

Extensão maliciosa “Quick access to Chat GPT”. Fonte

O mais interessante é que, para promover essa extensão maliciosa, os criminosos usaram anúncios do Facebook pagos, você adivinhou, pelas contas comerciais que eles já haviam sequestrado! Esse esquema engenhoso permitiu que os criadores da extensão “Quick Access to Chat GPT” atraíssem alguns milhares de novos usuários por dia. No final, ambas as extensões maliciosas foram removidas da loja.

ChromeLoader: conteúdo pirata contendo extensões maliciosas

Muitas vezes, os criadores de extensões maliciosas não as colocam na Google Chrome Web Store e as distribuem de outras formas. Por exemplo, no início deste ano, os pesquisadores notaram uma nova campanha maliciosa relacionada ao malware ChromeLoader, já conhecido no campo da segurança cibernética. O objetivo principal desse Cavalo de Tróia é instalar uma extensão maliciosa no navegador da vítima.

Essa extensão, por sua vez, exibe anúncios intrusivos no navegador e falsifica os resultados da pesquisa com links que levam a brindes de prêmios falsos, pesquisas, sites de namoro, jogos para adultos, software indesejado e assim por diante.

Este ano, os invasores usaram uma variedade de conteúdo pirata como isca para fazer as vítimas instalarem o ChromeLoader. Por exemplo, em fevereiro de 2023 , os pesquisadores relataram a disseminação do ChromeLoader por meio de arquivos VHD (um formato de imagem de disco) disfarçados como jogos invadidos ou “cracks” de jogos. Entre os jogos usados pelos distribuidores estavam Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing e muito mais. Como você pode imaginar, todos esses arquivos VHD continham o instalador da extensão maliciosa.

Alguns meses depois, em junho de 2023, outro grupo de pesquisadores divulgou um relatório detalhado sobre as atividades do mesmo ChromeLoader, detalhando sua disseminação através de uma rede de sites que oferecem músicas, filmes e, mais uma vez, jogos de computador piratas. Nesta campanha, em vez de conteúdo genuíno, os arquivos VBScript foram baixados nos computadores das vítimas, que então carregaram e instalaram a extensão maliciosa do navegador.

O malware ChromeLoader instala uma extensão de navegador maliciosa

Um dos sites que distribuiu o malware ChromeLoader sob o disfarce de conteúdo pirata. Fonte

Embora os resultados da pesquisa alterados alertem rapidamente as vítimas sobre a presença da extensão perigosa em seu navegador, livrar-se dela não é tão fácil. O ChromeLoader não apenas instala a extensão maliciosa, mas também adiciona scripts e tarefas do Agendador de Tarefas do Windows ao sistema que reinstalam a extensão sempre que o sistema é reinicializado.

Hackers lendo correspondência do Gmail usando uma extensão espiã

Em março de 2023, o Escritório Federal Alemão para a Proteção da Constituição e a Agência Nacional de Inteligência da Coreia do Sul emitiram um relatório conjunto sobre as atividades do grupo cibercriminoso Kimsuky. Esse grupo usa uma extensão infectada para navegadores baseados no Chromium (Google Chrome, Microsoft Edge, bem como o navegador sul-coreano Naver Whale) para ler a correspondência do Gmail de suas vítimas.

O ataque começa com os criminosos enviando e-mails para indivíduos específicos de interesse. O e-mail contém um link para uma extensão maliciosa chamada AF, juntamente com algum texto que convence a vítima a instalar a extensão. A extensão começa a funcionar quando a vítima abre o Gmail no navegador onde está instalado. O AF, então, envia automaticamente a correspondência da vítima para o servidor C2 dos hackers.

Assim, o Kimsuky consegue obter acesso ao conteúdo da caixa de e-mail da vítima. Além disso, eles não precisam recorrer a nenhum truque para invadir essa caixa de e-mail; eles simplesmente ignoram a autenticação de dois fatores. Como um bônus, esse método permite que eles façam tudo de uma maneira altamente discreta, em particular, impedindo o Google de enviar alertas à vítima sobre o acesso à conta a partir de um novo dispositivo ou local suspeito, como seria o caso se a senha fosse roubada.

Rilide: extensão maliciosa que rouba criptomoedas e ignora a autenticação de dois fatores

Os criminosos também costumam usar extensões maliciosas para atingir carteiras de criptomoedas. Em especial, os criadores da extensão Rilide, descoberta pela primeira vez em abril de 2023, a usam para rastrear a atividade do navegador relacionada à criptomoeda de usuários infectados. Quando a vítima visita sites de uma lista especificada, a extensão maliciosa rouba informações da carteira de criptomoedas, logins de e-mail e senhas.

Além disso, essa extensão coleta e envia o histórico do navegador para o servidor C2 e permite que os invasores façam capturas de tela. Mas o recurso mais interessante do Rilide é sua capacidade de ignorar a autenticação de dois fatores.

Quando a extensão detecta que um usuário está prestes a fazer uma transação de criptomoeda em um dos serviços on-line, ela injeta um script na página que substitui a caixa de diálogo de entrada do código de confirmação e, em seguida, rouba esse código. A carteira do destinatário do pagamento é substituída por uma que pertence aos invasores e, finalmente, a extensão confirma a transação usando o código roubado.

Promoção do Rilide sob o disfarce de um jogo blockchain

Como a extensão maliciosa do Rilide foi promovida no X (Twitter) sob o disfarce de jogos blockchain. Fonte

O Rilide ataca usuários de navegadores baseados no Chromium (Chrome, Edge, Brave e Opera), imitando uma extensão legítima do Google Drive para evitar suspeitas. O Rilide parece ser vendido livremente no mercado negro, então é usado por criminosos não relacionados entre si. Por esse motivo, vários métodos de distribuição foram descobertos: desde sites maliciosos e e-mails até instaladores de jogos blockchain infectados promovidos no Twitter X.

Um dos métodos de distribuição do Rilide particularmente interessantes foi através de uma apresentação enganosa em PowerPoint. Esta apresentação se mostrou como um guia de segurança para os funcionários da Zendesk, mas na verdade era um guia passo a passo para instalar a extensão maliciosa.

Guia de instalação do Rilide disfarçado como uma apresentação de segurança cibernética

Um guia passo a passo para instalar a extensão maliciosa, disfarçada como uma apresentação de segurança para funcionários da Zendesk. Fonte

Dezenas de extensões maliciosas na Chrome Web Store, com 87 milhões de downloads combinados

E, é claro, não se pode esquecer a história do verão, quando os pesquisadores descobriram várias dezenas de extensões maliciosas na Google Chrome Web Store, que coletivamente teve mais de 87 milhões de downloads da loja. Esses eram vários tipos de plugins de navegador, desde ferramentas para converter arquivos PDF e bloqueadores de anúncios até tradutores e VPNs.

As extensões foram adicionadas à Chrome Web Store em 2022 e 2021, portanto, quando foram descobertas, já estavam lá há vários meses, um ano ou até mais. Entre as revisões das extensões, houve algumas reclamações de usuários vigilantes que relataram que as extensões estavam falsificando resultados de pesquisa com anúncios. Infelizmente, os moderadores da Chrome Web Store ignoraram essas reclamações. As extensões maliciosas só foram removidas da loja depois que dois grupos de pesquisadores de segurança chamaram a atenção do Google para o problema.

Extensão Autoskip maliciosa para o YouTube na Google Chrome Web Store

A mais popular das extensões maliciosas, a Autoskip for YouTube, teve mais de nove milhões de downloads da Google Chrome Web Store. Fonte

Como se proteger de extensões maliciosas

Como você pode ver, extensões de navegador perigosas podem chegar ao seu computador de várias fontes, incluindo a Google Chrome Web Store oficial. E os invasores podem usá-las para várias finalidades, desde o sequestro de contas e a alteração de resultados da pesquisa até a leitura de correspondência e o roubo de criptomoedas. Assim, é importante tomar precauções:

  • Tente evitar a instalação de extensões de navegador desnecessárias. Quanto menos extensões você tiver em seu navegador, melhor.
  • Se você instalar uma extensão, é melhor instalá-la de uma loja oficial em vez de um site desconhecido. Claro, isso não elimina completamente o risco de encontrar extensões perigosas, mas pelo menos a Google Chrome Web Store leva sua segurança a sério.
  • Antes de instalar, leia as revisões de uma extensão. Se houver algo errado com ele, alguém pode já ter notado e informado outros usuários.
  • Revise periodicamente a lista de extensões instaladas em seus navegadores. Remova as que você não usa, especialmente aquelas que você não se lembra de ter instalado.
  • E certifique-se de usar Kaspersky Premium em todos os dispositivos.
Dicas