Extensões do Chrome e Edge usadas para instalar malware
Uma das capacidades dos navegadores atuais encontra-se na de expandir as suas funções com o uso de extensões. No entanto, se não se tiver atenção, esta pode também ser uma forma de acabar com malware nos sistemas.
As extensões são adições úteis para os navegadores, mas que também podem causar algumas dores de cabeça caso sejam exploradas para ataques. E de tempos a tempos, surgem alguns caso de ataques levados a cabo por extensões maliciosas.
Recentemente foi descoberta uma nova campanha de malware focada exatamente nisso. A campanha terá infetado mais de 300 mil computadores, através de extensões maliciosas que se encontravam nas plataformas do Chrome e Edge.
De acordo com a empresa de segurança ReasonLabs, as extensões eram o ponto inicial do ataque, que depois iniciava a instalação do malware no sistema. As extensões eram propagadas sobretudo sobre falsos instaladores, distribuídos por sites de conteúdos piratas, que instalavam as mesmas nos sistemas.
Estes instaladores encontravam-se digitalmente assinados pela empresa Tommy Tech LTD, o que dava mais credibilidade aos mesmos e poderia também evitar que fossem identificados pela maioria dos softwares de segurança.
No entanto, depois de ser feita a instalação, o malware criava uma tarefa agendada no sistema para instalar automaticamente as extensões no Chrome e Edge, que eram descarregadas diretamente das lojas de cada uma das plataformas.
A lista de extensões usadas para o esquema inclui:
- Custom Search Bar – Mais de 40 mil utilizadores
- yglSearch – Mais de 40 mil utilizadores
- Qcom search bar – Mais de 40 utilizadores
- Qtr Search – Mais de 6 mil utilizadores
- Micro Search Chrome Extension – Mais de 180 mil utilizadores (removido da Chrome Web Store)
- Active Search Bar – Mais de 20 mil utilizadores (removido da Chrome Web Store)
- Your Search Bar – Mais de 40 mil utilizadores (removido da Chrome Web Store)
- Safe Search Eng – Mais de 35 mil utilizadores (removido da Chrome Web Store)
- Lax Search – Mais de 600 utilizadores (removido da Chrome Web Store)
- Simple New Tab – Mais de 100 milhões de utilizadores (removido da loja Edge)
- Cleaner New Tab – Mais de 2 mil utilizadores (removido da loja Edge)
- NewTab Wonders – Mais de 7 mil utilizadores (removido da loja Edge)
- SearchNukes – Mais de 1 mil utilizadores (removido da loja Edge)
- EXYZ Search – Mais de 1 mil utilizadores (removido da loja Edge)
- Wonders Tab – Mais de 6 mil utilizadores (removido da loja Edge)
Estas extensões tinham a capacidade de redirecionar as pesquisas do navegador para sites em controlo dos atacantes, onde estes obtinham receitas pela publicidade nos mesmos.
Além disso, teriam ainda a capacidade de recolher dados do navegador, como senhas e dados de login em geral, enviando os mesmos para sistemas em controlo dos atacantes. Esses dados eram depois usados para diferentes atividades.
Para dificultar a tarefa de identificação e remoção, as extensões eram ainda ocultadas da página de configuração das extensões do navegador, o que torna a sua remoção mais complicada. Além disso, mesmo depois de removida, a tarefa agendada criada no sistema voltava a instalar a mesma futuramente.
Na maioria dos casos, a única forma de remover completamente as extensões passava por reinstalar o navegador por completo e de remover manualmente as tarefas agendadas criadas para o efeito.