Mais que 500 extensões maliciosas do Chrome foram removidos da Web Store do Google, todos os quais foram descobertos para ser parte de uma grande campanha de publicidade maliciosa. As extensões contido anúncios maliciosos e foram desvio de dados de navegação dos usuários para servidores suspeitos. Os resultados vêm de uma investigação conjunta realizada pelo pesquisador de segurança Jamila Kaya e Duo Segurança.
Como os pesquisadores se deparar com as extensões do Chrome maliciosas?
Conforme explicado pelos pesquisadores em seu relatório original, Jamila Kaya contactado Duo Segurança sobre “uma variedade de extensões do Chrome ela identificou estar operando de uma maneira que, inicialmente, parecia legítimo”. Contudo, a análise mais detalhada revelou que as extensões foram infectando os navegadores dos usuários e exfiltrating dados como parte de uma campanha maior. Em verdade, as extensões eram parte de uma rede de plugins do navegador copycat:
Essas extensões eram comumente apresentado como publicidade oferta como serviço. Jamila descobri que eram parte de uma rede de plugins copycat partilha funcionalidade quase idêntica. através da colaboração, fomos capazes de tomar as poucas dezenas de extensões e utilizar CRXcavator.io para identificar 70 combinando seus padrões através 1.7 milhões de usuários e preocupações escalar a Google.
A boa notícia é que o Google foi rápido para responder, e tomou medidas imediatamente depois de ser notificado sobre os resultados. Uma vez que o relatório foi apresentado, a gigante de tecnologia trabalhou para validar os resultados e passou a impressão digital as extensões, os pesquisadores compartilhada. Como resultado desta cooperação, Google foi capaz “para pesquisar todo o corpus Chrome Web Store para descobrir e remover mais de 500 extensões relacionadas”.
De fato, temos publicado vários artigos específicos sobre as extensões do navegador maliciosos semelhantes que afetam todos os navegadores populares (Raposa de fogo, cromada, Ópera, Internet Explorer, Safári, Beira, etc.). Um exemplo de uma tal extensão é o chamado tão Mapas Frontier.
Para instalar no computador de um usuário, mapas Frontier e aplicativos semelhantes usam diferentes estratégias. O programa pode ser instalado automaticamente no seu computador na forma de uma oferta adicional em um pacote de instalação gratuito. Tais extensões potencialmente maliciosos são frequentemente agrupados em um instalador gratuito de um programa de terceiros, e os usuários acabam baixá-los involuntariamente.
Contudo, malvertising também é uma opção, como apontado pelos pesquisadores que descobriu as extensões maliciosas na Chrome Web Store:
atores cada vez mais mal-intencionados usará atividade de internet legítimo para ofuscar sua explorar conta-gotas ou esquemas de comando e controle. Uma maneira muito popular de fazer isso é utilizar cookies de publicidade e os redirecionamentos nele para chamadas de retorno de controle e evitar a detecção. esta técnica, chamado “malvertising” tornou-se um vetor de infecção cada vez mais comum na experiência de Jamila, e ainda é difícil de detectar hoje, apesar de ser proeminente durante anos.
Como resultado desta campanha malvertising, mais que 1.7 milhão de usuários foram afetados. Este número indica a escala em que as extensões do navegador pode ser usado como um vector de ataque de forma bastante eficaz. “Como parte de uma boa higiene de segurança, recomendamos usuários auditar regularmente quais extensões que tenham instalado, remover os que já não uso, e os relatórios que eles não reconhecem,”Concluem os pesquisadores.