500 extensões do Chrome carregaram secretamente dados particulares de milhões de usuários

14

Mais de 500 extensões de navegador baixadas milhões de vezes da Chrome Web Store do Google carregaram clandestinamente dados de navegação privada em servidores controlados por invasores, disseram pesquisadores na quinta-feira.

As extensões faziam parte de um esquema antigo de propaganda e fraude que foi descoberto pela pesquisadora independente Jamila Kaya. Ela e pesquisadores da Duo Security, da Cisco, identificaram 71 extensões da Chrome Web Store que tinham mais de 1,7 instalações. Depois que os pesquisadores relataram suas descobertas em particular ao Google, a empresa identificou mais de 430 extensões adicionais. O Google removeu todas as extensões conhecidas.

"No caso relatado aqui, os criadores de extensões do Chrome criaram extensões que ofuscam a funcionalidade de publicidade subjacente dos usuários", escreveram Kaya e Duo Security Jacob Rickerd em um relatório. “Isso foi feito para conectar os clientes do navegador a uma arquitetura de comando e controle, filtrar dados de navegação privada sem o conhecimento dos usuários, expor o usuário ao risco de exploração por meio de fluxos de publicidade e tentar fugir dos mecanismos de detecção de fraude da Chrome Web Store . ”

Um labirinto de redirecionamentos, malware e muito mais

As extensões foram apresentadas principalmente como ferramentas que forneciam vários utilitários de promoção e publicidade como serviço. De fato, eles se envolveram em fraudes em anúncios e má publicidade ao embaralhar navegadores infectados por um labirinto de domínios incompletos. Cada plug-in foi conectado primeiro a um domínio que usava o mesmo nome que o plug-in (por exemplo: Mapstrek (.) Com ou ArcadeYum (.) Com) para verificar as instruções sobre como desinstalar a si próprio.

Os plugins redirecionaram os navegadores para um dos poucos servidores de controle codificados para receber instruções adicionais, locais para fazer upload de dados, listas de feeds de anúncios e domínios para futuros redirecionamentos. Os navegadores infectados fizeram o upload de dados do usuário, configurações atualizadas de plug-ins e fluíram através de um fluxo de redirecionamentos de sites.

O relatório de quinta-feira continuou:

O usuário recebe regularmente novos domínios de redirecionador, à medida que são criados em lotes, com vários domínios anteriores sendo criados no mesmo dia e hora. Todos eles operam da mesma maneira, recebendo o sinal do host e enviando-os para uma série de fluxos de anúncios e, posteriormente, para anúncios legítimos e ilegítimos. Alguns deles estão listados na seção "Domínios finais" dos COI, embora sejam muitos numerosos para serem listados.

Muitos dos redirecionamentos levaram a anúncios benignos para produtos da Macy's, Dell e Best Buy. O que tornou o esquema malicioso e fraudulento foi o (a) o grande volume de conteúdo do anúncio (até 30 redirecionamentos em alguns casos), (b) a ocultação deliberada da maioria dos anúncios dos usuários finais e (c) o uso do fluxos de redirecionamento de anúncios para enviar navegadores infectados para sites de malware e phishing. Duas amostras de malware vinculadas aos sites de plug-in foram:

  • ARCADEYUMGAMES.exe, que lê chaves relacionadas ao serviço de terminal e acessa informações potencialmente confidenciais de navegadores locais, e
  • MapsTrek.exe, que tem a capacidade de abrir a área de transferência

Todos, exceto um dos sites usados ​​no esquema, não foram anteriormente classificados como maliciosos ou fraudulentos pelos serviços de inteligência de ameaças. A exceção foi o estado do Missouri, que listou o DTSINCE (.) Com, um dos poucos servidores de controle codificados, como um site de phishing.

Os pesquisadores encontraram evidências de que a campanha está em operação desde pelo menos janeiro de 2019 e cresceu rapidamente, principalmente de março a junho. É possível que os operadores estivessem ativos por um período muito mais longo, possivelmente já em 2017.

Embora cada um dos 500 plugins parecesse diferente, todos continham código-fonte quase idêntico, com exceção dos nomes das funções, que eram únicos. Kaya descobriu os plugins maliciosos com a ajuda de CRXcavator, uma ferramenta para avaliar a segurança das extensões do Chrome. Foi desenvolvido pela Duo Security e disponibilizado gratuitamente ano passado. Quase nenhum dos plugins tem classificações de usuários, uma característica que deixou os pesquisadores inseguros exatamente como as extensões foram instaladas. O Google agradeceu aos pesquisadores por relatar suas descobertas.

Cuidado com extensões

Essa descoberta mais recente ocorre sete meses depois que um pesquisador independente diferente documentou as extensões do navegador que levantou históricos de navegação de mais de 4 milhões de máquinas infectadas. Enquanto a grande maioria das instalações afetou os usuários do Chrome, alguns usuários do Firefox também foram varridos. Nacho Analytics, a empresa que agregou os dados e os vendeu abertamente, foi encerrada após a cobertura da operação da Ars.

O relatório de quinta-feira tem uma lista de 71 extensões maliciosas, juntamente com os domínios associados. Após uma longa prática, o Google não identificou nenhuma das extensões ou domínios encontrados em sua própria investigação. A empresa também não notificou usuários que foram infectados pela fraude.

A descoberta de extensões de navegador mais maliciosas e fraudulentas é um lembrete de que as pessoas devem ser cautelosas ao instalar essas ferramentas e usá-las somente quando oferecem benefícios reais. É sempre uma boa ideia ler as opiniões dos usuários para verificar se há relatos de comportamento suspeito. As pessoas devem verificar regularmente extensões que não reconhecem ou que não usaram recentemente e removê-las.

Fonte: Ars Technica