Resumo
- Pesquisadores da LayerX identificaram 17 novas extensões maliciosas nos navegadores Chrome, Firefox e Edge.
- Elas coletavam dados e instalavam backdoors sem que o usuário percebesse, e ultrapassaram 840 mil downloads.
- As extensões desviavam links de afiliados e inseriam rastreamento do Google Analytics.
Um novo conjunto de extensões para espionagem digital foi encontrado. Pesquisadores de cibersegurança da LayerX identificaram ao menos 17 delas disponíveis no Google Chrome, Mozilla Firefox e Microsoft Edge. Essas extensões coletavam a atividade de navegação dos usuários e instalavam backdoors para manter acesso persistente aos dispositivos.
Há um mês, vale lembrar, outro relatório de segurança revelou que 4,3 milhões de usuários do Google Chrome e Microsoft Edge foram espionados via extensões maliciosas.
Desta vez, o impacto do caso chama atenção não apenas pela sofisticação técnica, mas também pela escala. Somadas, as extensões analisadas ultrapassaram 840 mil downloads, muitas delas distribuídas por meio de repositórios oficiais dos navegadores.
Campanha antiga, método aprimorado
De acordo com a LayerX, o episódio não representa uma ação isolada. Trata-se da continuidade da campanha conhecida como GhostPoster, também revelada no mês passado, dessa vez pela Koi Security. Na ocasião, outro grupo de 17 extensões foi identificado com cerca de 50 mil downloads acumulados, utilizando técnicas semelhantes de vigilância e acesso remoto.
Entre as extensões agora descobertas estão ferramentas que simulam serviços populares, como tradutores, bloqueadores de anúncios, capturadores de tela, downloads de vídeos e utilitários para redes sociais e comércio eletrônico. Algumas delas foram publicadas originalmente em 2020, o que indica que usuários podem ter sido expostos ao código malicioso por anos sem perceber.
O levantamento aponta que a loja do Microsoft Edge foi o ponto inicial de publicação da maioria dessas extensões, que depois se espalharam para o Chrome e o Firefox. Essa migração entre plataformas ampliou o alcance da campanha e dificultou a identificação.
Quais extensões espionaram usuários?
De acordo com o relatório, essas foram as extensões identificadas:
- Google Translate in Right Click
- Translate Selected Text with GoogleAds Block Ultimate
- Floating Player – PiP Mode
- Convert Everything
- YouTube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Como essas extensões funcionavam?
Um dos aspectos mais incomuns do ataque foi a forma de ocultar o código malicioso. Em alguns casos, scripts em JavaScript estavam escondidos dentro do próprio arquivo de imagem usado como logotipo da extensão, no formato PNG. Esse código continha instruções para baixar a carga principal de um servidor remoto.
Para reduzir as chances de detecção, os desenvolvedores configuraram o download do código principal para ocorrer apenas em cerca de 10% das execuções. Uma vez ativo, o malware era capaz de desviar links de afiliados em grandes sites de e-commerce, gerando prejuízo direto a criadores de conteúdo.
Além disso, as extensões inseriam rastreamento do Google Analytics em todas as páginas visitadas, removiam cabeçalhos de segurança das respostas HTTP e conseguiam contornar sistemas de CAPTCHA por diferentes métodos. Outro recurso incluía a injeção de iframes invisíveis, usados principalmente para fraudes de anúncios e cliques, que se autodestruíam após alguns segundos.
Mais extensões espionaram usuários no Chrome, Firefox e Edge
