{"id":22113,"date":"2023-12-21T16:21:55","date_gmt":"2023-12-21T19:21:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22113"},"modified":"2023-12-21T16:21:55","modified_gmt":"2023-12-21T19:21:55","slug":"dangerous-browser-extensions-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dangerous-browser-extensions-2023\/22113\/","title":{"rendered":"Extens\u00f5es de navegador perigosas"},"content":{"rendered":"

Frequentemente escrevemos aqui nestas p\u00e1ginas do blog sobre como extens\u00f5es de navegador podem ser muito perigosas. Para ilustrar esse fato, decidimos dedicar um artigo a isso. Nesta postagem, veremos os casos mais interessantes, incomuns, difundidos e perigosos envolvendo extens\u00f5es maliciosas em 2023. Tamb\u00e9m discutiremos do que essas extens\u00f5es foram capazes e, \u00e9 claro, como se proteger delas.<\/p>\n

Extens\u00f5es do Roblox com backdoor<\/h2>\n

Para definir o tom e tamb\u00e9m destacar uma das maiores preocupa\u00e7\u00f5es associadas \u00e0s extens\u00f5es perigosas, vamos come\u00e7ar com uma hist\u00f3ria que come\u00e7ou no ano passado. Em novembro de 2022, duas extens\u00f5es maliciosas com o mesmo nome (SearchBlox) foram descobertas<\/a> na Chrome Web Store, a loja oficial das extens\u00f5es do navegador Google Chrome. Uma dessas extens\u00f5es teve mais de 200 mil downloads.<\/p>\n

O objetivo declarado das extens\u00f5es era procurar um jogador espec\u00edfico nos servidores Roblox. No entanto, seu objetivo real era sequestrar as contas dos jogadores do Roblox e roubar seus ativos no jogo. Depois que as informa\u00e7\u00f5es sobre essas extens\u00f5es maliciosas foram publicadas<\/a> no site de not\u00edcias BleepingComputer, elas foram removidas da Chrome Web Store e exclu\u00eddas automaticamente dos dispositivos dos usu\u00e1rios que as instalaram.<\/p>\n

\"SearchBlox:<\/a>

As extens\u00f5es maliciosas do SearchBlox publicadas na Google Chrome Web Store sequestraram as contas dos jogadores do Roblox. Fonte<\/a><\/p><\/div>\n

No entanto, a hist\u00f3ria do Roblox n\u00e3o termina a\u00ed. Em agosto de 2023, mais duas extens\u00f5es maliciosas de natureza semelhante (RoFinder e RoTracker<\/a>) foram descobertas na Chrome Web Store. Assim como o SearchBlox, esses plugins ofereciam aos usu\u00e1rios a capacidade de procurar outros jogadores nos servidores Roblox, mas na realidade tinham um backdoor embutido neles. A comunidade de usu\u00e1rios do Roblox finalmente conseguiu remover essas extens\u00f5es da loja tamb\u00e9m.<\/p>\n

\"RoTracker:<\/a>

A extens\u00e3o maliciosa RoTracker, tamb\u00e9m hospedada na Google Chrome Web Store. Fonte<\/a><\/p><\/div>\n

Isso sugere que a qualidade da modera\u00e7\u00e3o na plataforma oficial do mundo para baixar extens\u00f5es do Google Chrome deixa muito a desejar, e \u00e9 bastante f\u00e1cil para os criadores de extens\u00f5es maliciosas enviarem suas cria\u00e7\u00f5es para l\u00e1. Para que os moderadores identifiquem extens\u00f5es perigosas e as removam da loja, as avalia\u00e7\u00f5es dos usu\u00e1rios afetados raramente s\u00e3o suficientes, muitas vezes, isso requer esfor\u00e7os da m\u00eddia, pesquisadores de seguran\u00e7a e\/ou uma grande comunidade on-line.<\/p>\n

Extens\u00f5es falsas do ChatGPT sequestrando contas do Facebook<\/h2>\n

Em mar\u00e7o de 2023, duas extens\u00f5es maliciosas<\/a> foram descobertas<\/a> na Google Chrome Web Store com poucos dias de diferen\u00e7a, ambas aproveitando o entusiasmo em torno do servi\u00e7o de IA ChatGPT. Uma delas era uma c\u00f3pia infectada da extens\u00e3o \u201cChatGPT for Google\u201d leg\u00edtima, oferecendo a integra\u00e7\u00e3o das respostas do ChatGPT nos resultados do mecanismo de pesquisa.<\/p>\n

A extens\u00e3o \u201cChatGPT for Google\u201d infectada foi carregada na Chrome Web Store em 14 de fevereiro de 2023. Seus criadores esperaram algum tempo e s\u00f3 come\u00e7aram a divulg\u00e1-lo ativamente precisamente um m\u00eas depois, em 14 de mar\u00e7o de 2023, usando an\u00fancios do Google Search. Os criminosos conseguiram atrair cerca de mil novos usu\u00e1rios por dia, resultando em mais de 9 mil downloads no momento em que a amea\u00e7a foi descoberta.<\/p>\n

\"Vers\u00e3o<\/a>

A vers\u00e3o infectada do \u201cChatGPT for Google\u201d parecia igual \u00e0 vers\u00e3o real. Fonte<\/a><\/p><\/div>\n

A c\u00f3pia enganosa do \u201cChatGPT for Google\u201d funcionava exatamente como a real, mas com uma funcionalidade maliciosa extra: a vers\u00e3o infectada inclu\u00eda o c\u00f3digo adicional projetado para roubar cookies de sess\u00e3o do Facebook armazenados pelo navegador. Usando esses arquivos, os invasores conseguiram sequestrar as contas do Facebook de usu\u00e1rios que instalaram a extens\u00e3o infectada.<\/p>\n

As contas comprometidas podiam, ent\u00e3o, ser usadas para fins ilegais. Como exemplo, os pesquisadores mencionaram uma conta do Facebook pertencente a um fabricante de casas m\u00f3veis, que come\u00e7ou a promover o conte\u00fado do ISIS depois de ser invadido.<\/p>\n

\"Conta<\/a>

Depois de ser sequestrada, a conta do Facebook come\u00e7ou a promover o conte\u00fado do ISIS. Fonte<\/a><\/p><\/div>\n

No outro caso, os fraudadores criaram uma extens\u00e3o completamente original chamada \u201cQuick access to Chat GPT\u201d. Na verdade, a extens\u00e3o realmente fez o que prometeu, agindo como um intermedi\u00e1rio entre os usu\u00e1rios e o ChatGPT usando a API oficial do servi\u00e7o de IA. No entanto, seu objetivo real era novamente roubar cookies de sess\u00e3o do Facebook, permitindo que os criadores da extens\u00e3o sequestrassem contas comerciais do Facebook.<\/p>\n

\"Extens\u00e3o<\/a>

Extens\u00e3o maliciosa \u201cQuick access to Chat GPT\u201d. Fonte<\/a><\/p><\/div>\n

O mais interessante \u00e9 que, para promover essa extens\u00e3o maliciosa, os criminosos usaram an\u00fancios do Facebook pagos, voc\u00ea adivinhou, pelas contas comerciais que eles j\u00e1 haviam sequestrado! Esse esquema engenhoso permitiu que os criadores da extens\u00e3o \u201cQuick Access to Chat GPT\u201d atra\u00edssem alguns milhares de novos usu\u00e1rios por dia. No final, ambas as extens\u00f5es maliciosas foram removidas da loja.<\/p>\n

ChromeLoader: conte\u00fado pirata contendo extens\u00f5es maliciosas<\/h2>\n

Muitas vezes, os criadores de extens\u00f5es maliciosas n\u00e3o as colocam na Google Chrome Web Store e as distribuem de outras formas. Por exemplo, no in\u00edcio deste ano, os pesquisadores notaram uma nova campanha maliciosa relacionada ao malware ChromeLoader, j\u00e1 conhecido no campo da seguran\u00e7a cibern\u00e9tica. O objetivo principal desse Cavalo de Tr\u00f3ia \u00e9 instalar uma extens\u00e3o maliciosa no navegador da v\u00edtima.<\/p>\n

Essa extens\u00e3o, por sua vez, exibe an\u00fancios intrusivos no navegador e falsifica os resultados da pesquisa com links que levam a brindes de pr\u00eamios falsos, pesquisas, sites de namoro, jogos para adultos, software indesejado e assim por diante.<\/p>\n

Este ano, os invasores usaram uma variedade de conte\u00fado pirata como isca para fazer as v\u00edtimas instalarem o ChromeLoader. Por exemplo, em fevereiro de 2023<\/a> , os pesquisadores relataram a dissemina\u00e7\u00e3o do ChromeLoader por meio de arquivos VHD<\/a> (um formato de imagem de disco) disfar\u00e7ados como jogos invadidos ou \u201ccracks\u201d de jogos. Entre os jogos usados pelos distribuidores estavam Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing e muito mais. Como voc\u00ea pode imaginar, todos esses arquivos VHD continham o instalador da extens\u00e3o maliciosa.<\/p>\n

Alguns meses depois, em junho de 2023<\/a>, outro grupo de pesquisadores divulgou um relat\u00f3rio detalhado sobre as atividades do mesmo ChromeLoader, detalhando sua dissemina\u00e7\u00e3o atrav\u00e9s de uma rede de sites que oferecem m\u00fasicas, filmes e, mais uma vez, jogos de computador piratas. Nesta campanha, em vez de conte\u00fado genu\u00edno, os arquivos VBScript<\/a> foram baixados nos computadores das v\u00edtimas, que ent\u00e3o carregaram e instalaram a extens\u00e3o maliciosa do navegador.<\/p>\n

\"O<\/a>

Um dos sites que distribuiu o malware ChromeLoader sob o disfarce de conte\u00fado pirata. Fonte<\/a><\/p><\/div>\n

Embora os resultados da pesquisa alterados alertem rapidamente as v\u00edtimas sobre a presen\u00e7a da extens\u00e3o perigosa em seu navegador, livrar-se dela n\u00e3o \u00e9 t\u00e3o f\u00e1cil. O ChromeLoader n\u00e3o apenas instala a extens\u00e3o maliciosa, mas tamb\u00e9m adiciona scripts e tarefas do Agendador de Tarefas do Windows ao sistema que reinstalam a extens\u00e3o sempre que o sistema \u00e9 reinicializado.<\/p>\n

Hackers lendo correspond\u00eancia do Gmail usando uma extens\u00e3o espi\u00e3<\/h2>\n

Em mar\u00e7o de 2023, o Escrit\u00f3rio Federal Alem\u00e3o para a Prote\u00e7\u00e3o da Constitui\u00e7\u00e3o e a Ag\u00eancia Nacional de Intelig\u00eancia da Coreia do Sul emitiram<\/a> um relat\u00f3rio conjunto sobre as atividades do grupo cibercriminoso Kimsuky<\/a>. Esse grupo usa uma extens\u00e3o infectada para navegadores baseados no Chromium (Google Chrome, Microsoft Edge, bem como o navegador sul-coreano Naver Whale) para ler a correspond\u00eancia do Gmail de suas v\u00edtimas.<\/p>\n

O ataque come\u00e7a com os criminosos enviando e-mails para indiv\u00edduos espec\u00edficos de interesse. O e-mail cont\u00e9m um link para uma extens\u00e3o maliciosa chamada AF, juntamente com algum texto que convence a v\u00edtima a instalar a extens\u00e3o. A extens\u00e3o come\u00e7a a funcionar quando a v\u00edtima abre o Gmail no navegador onde est\u00e1 instalado. O AF, ent\u00e3o, envia automaticamente a correspond\u00eancia da v\u00edtima para o servidor C2 dos hackers.<\/p>\n

Assim, o Kimsuky consegue obter acesso ao conte\u00fado da caixa de e-mail da v\u00edtima. Al\u00e9m disso, eles n\u00e3o precisam recorrer a nenhum truque para invadir essa caixa de e-mail; eles simplesmente ignoram a autentica\u00e7\u00e3o de dois fatores. Como um b\u00f4nus, esse m\u00e9todo permite que eles fa\u00e7am tudo de uma maneira altamente discreta, em particular, impedindo o Google de enviar alertas \u00e0 v\u00edtima sobre o acesso \u00e0 conta a partir de um novo dispositivo ou local suspeito, como seria o caso se a senha fosse roubada.<\/p>\n

Rilide: extens\u00e3o maliciosa que rouba criptomoedas e ignora a autentica\u00e7\u00e3o de dois fatores<\/h2>\n

Os criminosos tamb\u00e9m costumam usar extens\u00f5es maliciosas para atingir carteiras de criptomoedas. Em especial, os criadores da extens\u00e3o Rilide, descoberta pela primeira vez em abril de 2023<\/a>, a usam para rastrear a atividade do navegador relacionada \u00e0 criptomoeda de usu\u00e1rios infectados. Quando a v\u00edtima visita sites de uma lista especificada, a extens\u00e3o maliciosa rouba informa\u00e7\u00f5es da carteira de criptomoedas, logins de e-mail e senhas.<\/p>\n

Al\u00e9m disso, essa extens\u00e3o coleta e envia o hist\u00f3rico do navegador para o servidor C2 e permite que os invasores fa\u00e7am capturas de tela. Mas o recurso mais interessante do Rilide \u00e9 sua capacidade de ignorar a autentica\u00e7\u00e3o de dois fatores.<\/p>\n

Quando a extens\u00e3o detecta que um usu\u00e1rio est\u00e1 prestes a fazer uma transa\u00e7\u00e3o de criptomoeda em um dos servi\u00e7os on-line, ela injeta um script na p\u00e1gina que substitui a caixa de di\u00e1logo de entrada do c\u00f3digo de confirma\u00e7\u00e3o e, em seguida, rouba esse c\u00f3digo. A carteira do destinat\u00e1rio do pagamento \u00e9 substitu\u00edda por uma que pertence aos invasores e, finalmente, a extens\u00e3o confirma a transa\u00e7\u00e3o usando o c\u00f3digo roubado.<\/p>\n

\"Promo\u00e7\u00e3o<\/a>

Como a extens\u00e3o maliciosa do Rilide foi promovida no X (Twitter) sob o disfarce de jogos blockchain. Fonte<\/a><\/p><\/div>\n

O Rilide ataca usu\u00e1rios de navegadores baseados no Chromium (Chrome, Edge, Brave e Opera), imitando uma extens\u00e3o leg\u00edtima do Google Drive para evitar suspeitas. O Rilide parece ser vendido livremente no mercado negro, ent\u00e3o \u00e9 usado por criminosos n\u00e3o relacionados entre si. Por esse motivo, v\u00e1rios m\u00e9todos de distribui\u00e7\u00e3o foram descobertos: desde sites maliciosos e e-mails at\u00e9 instaladores de jogos blockchain<\/a> infectados promovidos no Twitter<\/span> X.<\/p>\n

Um dos m\u00e9todos de distribui\u00e7\u00e3o do Rilide particularmente interessantes foi atrav\u00e9s de uma apresenta\u00e7\u00e3o enganosa em PowerPoint<\/a>. Esta apresenta\u00e7\u00e3o se mostrou como um guia de seguran\u00e7a para os funcion\u00e1rios da Zendesk, mas na verdade era um guia passo a passo para instalar a extens\u00e3o maliciosa.<\/p>\n

\"Guia<\/a>

Um guia passo a passo para instalar a extens\u00e3o maliciosa, disfar\u00e7ada como uma apresenta\u00e7\u00e3o de seguran\u00e7a para funcion\u00e1rios da Zendesk. Fonte<\/a><\/p><\/div>\n

Dezenas de extens\u00f5es maliciosas na Chrome Web Store, com 87 milh\u00f5es de downloads combinados<\/h2>\n

E, \u00e9 claro, n\u00e3o se pode esquecer a hist\u00f3ria do ver\u00e3o, quando os pesquisadores descobriram v\u00e1rias dezenas de extens\u00f5es maliciosas<\/a> na Google Chrome Web Store, que coletivamente teve mais de 87 milh\u00f5es de downloads da loja. Esses eram v\u00e1rios tipos de plugins de navegador, desde ferramentas para converter arquivos PDF e bloqueadores de an\u00fancios at\u00e9 tradutores e VPNs.<\/p>\n

As extens\u00f5es foram adicionadas \u00e0 Chrome Web Store em 2022 e 2021, portanto, quando foram descobertas, j\u00e1 estavam l\u00e1 h\u00e1 v\u00e1rios meses, um ano ou at\u00e9 mais. Entre as revis\u00f5es das extens\u00f5es, houve algumas reclama\u00e7\u00f5es de usu\u00e1rios vigilantes que relataram que as extens\u00f5es estavam falsificando resultados de pesquisa com an\u00fancios. Infelizmente, os moderadores da Chrome Web Store ignoraram essas reclama\u00e7\u00f5es. As extens\u00f5es maliciosas s\u00f3 foram removidas da loja depois que dois grupos de pesquisadores de seguran\u00e7a chamaram a aten\u00e7\u00e3o do Google para o problema.<\/p>\n

\"Extens\u00e3o<\/a>

A mais popular das extens\u00f5es maliciosas, a Autoskip for YouTube, teve mais de nove milh\u00f5es de downloads da Google Chrome Web Store. Fonte<\/a><\/p><\/div>\n

Como se proteger de extens\u00f5es maliciosas<\/h2>\n

Como voc\u00ea pode ver, extens\u00f5es de navegador perigosas podem chegar ao seu computador de v\u00e1rias fontes, incluindo a Google Chrome Web Store oficial. E os invasores podem us\u00e1-las para v\u00e1rias finalidades, desde o sequestro de contas e a altera\u00e7\u00e3o de resultados da pesquisa at\u00e9 a leitura de correspond\u00eancia e o roubo de criptomoedas. Assim, \u00e9 importante tomar precau\u00e7\u00f5es:<\/p>\n