O Google removeu 500 extensões maliciosas do Chrome de sua Web Store depois que elas injetaram anúncios maliciosos e desviaram dados de navegação dos usuários para servidores sob o controle de atacantes.
Essas extensões faziam parte de uma campanha de malvertising e fraude de anúncios que está em operação pelo menos desde janeiro de 2019, embora as evidências apontem a possibilidade de o ator por trás do esquema estar ativo desde 2017.
As descobertas são parte de uma investigação conjunta da a pesquisadora de segurança Jamila Kaya e a Duo Security, de propriedade da Cisco, que desenterraram 70 extensões do Chrome com mais de 1,7 milhão de instalações.
Ao compartilhar a descoberta em particular com o Google, a empresa identificou 430 extensões de navegador mais problemáticas, todas desativadas desde então.
"A importância da publicidade maliciosa como vetor de ataque continuará a aumentar enquanto a publicidade baseada em rastreamento permanecer onipresente, e principalmente se os usuários continuarem desassistidos por mecanismos de proteção", disseram Jacob Rickerd, da Kaya e da Duo Security.
Uma campanha de publicidade mal-oculta
Usando a ferramenta de avaliação de segurança de extensão Chrome da Duo Security - chamada CRXcavator - os pesquisadores conseguiram verificar que os plug-ins do navegador operavam conectando clandestinamente os clientes do navegador a um servidor de comando e controle (C2) controlado pelo invasor que tornava possível a extração de dados privados transmitindo dados sem o conhecimento dos usuários.
As extensões, que funcionavam sob o disfarce de promoções e serviços de publicidade, tinham código-fonte quase idêntico, mas diferiam nos nomes das funções, evitando assim os mecanismos de detecção da Chrome Web Store.
Além de solicitar permissões extensas que concederam aos plugins acesso à área de transferência e todos os cookies armazenados localmente no navegador, eles se conectaram periodicamente a um domínio que compartilhava o mesmo nome que o plug-in (por exemplo, Mapstrekcom, ArcadeYumcom) para verificar as instruções de desinstalação do navegador.
Ao fazer o contato inicial com o site, os plug-ins posteriormente estabeleceram contato com um domínio C2 codificado - por exemplo, DTSINCEcom - para aguardar comandos adicionais, os locais para carregar dados do usuário e receber listas atualizadas de anúncios maliciosos e domínios de redirecionamento, que posteriormente redirecionaram as sessões de navegação dos usuários para uma mistura de sites legítimos e de Phishing.
"Grande parte deles são fluxos de anúncios benignos, levando a anúncios como Macy's, Dell ou Best Buy", constatou o relatório. "Alguns desses anúncios podem ser considerados legítimos; no entanto, 60 a 70% do tempo em que um redirecionamento ocorre, os fluxos de anúncios fazem referência a um site malicioso".
Cuidado com extensões de navegador que roubam dados
Esta não é a primeira vez que extensões de roubo de dados são descobertas no navegador Chrome. Em julho passado, o pesquisador de segurança Sam Jadali e o The Washington Post descobriram um enorme vazamento de dados chamado DataSpii (espião de dados pronunciado) perpetrado por extensões obscuras do Chrome e Firefox instaladas em até quatro milhões de usuários.
Esses complementos coletavam atividades de navegação - incluindo informações de identificação pessoal - e as compartilhavam com um intermediário de dados não identificado que os transmitia a uma empresa de análise chamada Nacho Analytics (agora desativada), que depois vendeu os dados coletados para sua assinatura. membros quase em tempo real.
Em resposta, o Google começou a exigir extensões para solicitar apenas acesso ao "menor quantidade de dados "a partir de 15 de outubro de 2019, banindo quaisquer extensões que não possuam uma política de privacidade e coletando dados sobre os hábitos de navegação dos usuários.
Por enquanto, a mesma regra de cautela se aplica: revise suas permissões de extensão, considere desinstalar as extensões que você raramente usa ou alterna para outras alternativas de software que não exigem acesso invasivo à atividade do navegador.