Os desenvolvedores de extensões do Google Chrome estão cada vez mais sendo alvos de invasores em uma tentativa de sequestrar o tráfego do navegador do usuário por meio de phishing de informações confidenciais.
Extensões do Chrome na lista de ocorrências de invasores
Recentemente, foi relatado que uma extensão do Google Chrome com o nome de Copyfish foi comprometida por seus desenvolvedores depois que os invasores conseguiram enganar um dos membros de sua equipe para responder a um e-mail de phishing fornecendo aos invasores suas credenciais. Isso não foi coincidência. Foi relatado que pelo menos outras sete extensões do Chrome foram comprometidas por invasores recentemente. Uma estranha sensação de que está surgindo nos usuários do Chrome, se o Google e os desenvolvedores de extensões podem garantir a segurança cibernética do usuário e proteger suas informações.
De volta em julho, credenciais de desenvolvedor pertencentes ao software A9t9 foram severamente comprometidas, em que a extensão de reconhecimento óptico de caracteres gratuita altamente popular também conhecida como “Copyfish” foi sequestrada por invasores e efetivamente usada para enviar spam em uma campanha de phishing organizada. Os pesquisadores estão alertando que os atacantes aumentaram seu jogo desde, buscando aproveitar um grande número de extensões do Chrome para sequestrar o tráfego e se envolver em publicidade maliciosa. Uma vez que os invasores obtêm as credenciais do desenvolvedor, provavelmente seria por meio de campanhas de phishing por e-mail, versões maliciosas das extensões legítimas podem ser publicadas.
Extensões recentemente comprometidas e a ameaça que representam para você
Pesquisadores da Proofpoint divulgou um relatório na segunda-feira, obtendo a lista completa de extensões comprometidas, incluindo o Social Fixer (20.1.1), Web Paint (1.2.1), Chrometana (1.1.3), Infinito Nova Aba (3.12.3), Desenvolvedor (0.4.9). Acredita-se que todas as extensões listadas tenham sido modificadas pelo mesmo indivíduo usando o mesmo modus operandi. O relatório também deixa claro a inclinação dos pesquisadores em acreditar que as extensões do Chrome TouchVPN e Betternet VPN também foram comprometidas pelo mesmo método no início de junho deste ano..
O comportamento malicioso exibido pelas extensões recém-comprometidas abrange desde a substituição de anúncios no navegador do usuário; sequestrando o tráfego online de redes de publicidade autênticas e legítimas; e às vítimas sendo enganadas sob falso pretexto para reparar seu dispositivo, clicando em alertas JavaScript falsos. Portanto, isso leva o usuário a ser solicitado a reparar seu dispositivo, o que o redireciona para um programa de afiliados do qual os invasores lucram essencialmente.
O relatório também sugere que, além de sequestrar o tráfego e direcionar as vítimas para programas de afiliados questionáveis,, os invasores também foram encontrados capazes de coletar e obter credenciais da Cloudflare, fornecendo-lhes novos meios pelos quais eles poderiam planejar ataques futuros astutos aos usuários. Embora alguns sites tenham sido alvos dos invasores, os pesquisadores também apontaram que os invasores se concentraram principalmente em sites adultos com substituições cuidadosamente designadas.
Se alguém analisar cuidadosamente as páginas de destino dos afiliados usadas pelos invasores – atualização do navegador[.]informações e guia de pesquisa[.] será revelado que há um tráfego substancial fluindo por eles. O que é ainda mais impressionante é que a guia de pesquisa[.]ganhar sozinho recebido em torno 920,000 visitas em um mês, embora ainda não esteja claro quanto à proporção de tráfego gerado pela extensão sequestrada.
Chris Pederick, que é um dos desenvolvedores afetados pelos seqüestros de extensão e o desenvolvedor da extensão Web Developer Chrome, atraiu o interesse dos pesquisadores e provocou uma resposta rápida da comunidade de segurança cibernética depois que ele twittou que sua extensão havia sido comprometida.
Os pesquisadores conseguiram colocar as mãos na versão comprometida da extensão de Pederick e isolar o código malicioso injetado. Mergulhando nisso, o código revela ter permitido que invasores recuperem um arquivo remoto com o nome de “ga.js” por HTTPS de um servidor com um domínio gerado por um algoritmo gerador de domínio automático. O que isso significa é que a primeira etapa do código permitirá que os invasores chamem condicionalmente scripts adicionais com uma parte desses scripts usados para coletar credenciais do Cloudfare, portanto, ignorando a segurança do Cloudfare e permitindo que invasores substituam anúncios em sites.
Phishing para extensões do Google Chrome pode não ser uma prioridade de muitos desenvolvedores, daí por que o problema deixou todos horrorizados e inesperadamente. Contudo, com um relatório perspicaz sobre o problema de phishing agora disponível, parece que os desenvolvedores não têm escolha a não ser dedicar mais tempo especificamente para não cair em ataques de phishing.