Resumo
- Pesquisadores da Symantec identificaram extensões maliciosas na Chrome Web Store, afetando mais de 100 mil usuários.
- As extensões Good Tab, Children Protection, DPS Websafe e Stock Informer permitiam roubo de senhas e rastreamento de navegação.
- Google removeu as extensões Children Protection e DPS Websafe, mas Good Tab e Stock Informer ainda estavam disponíveis até a última atualização.
Pesquisadores de segurança da Symantec identificaram mais extensões maliciosas operando dentro da Chrome Web Store, a loja oficial do Google Chrome. O relatório técnico aponta que as ameaças comprometem mais de 100 mil usuários.
Os riscos identificados variam desde práticas de monetização enganosas até atividades como o sequestro de pesquisas (search hijacking), rastreamento de navegação, roubo de cookies para sequestro de sessão e até execução remota de código JavaScript.
Quais são as extensões maliciosas?
O relatório detalha quatro extensões principais:
- Good Tab
- Children Protection
- DPS Websafe
- Stock Informer
A extensão Good Tab apresenta-se como uma página de nova aba personalizável. Internamente, o software pode conceder permissões de leitura e gravação na área de transferência a um domínio externo. Na prática, isso permite que criminosos monitorem senhas copiadas ou alterem endereços de carteiras de criptomoedas durante transações financeiras.
O Children Protection é uma ferramenta de controle parental. O software, porém, pode coletar e enviar cookies de navegação para servidores remotos. Para garantir o sucesso da invasão, a ferramenta utiliza um algoritmo de geração de domínio (DGA) contra tentativas de desativação, permitindo que atacantes executem códigos em qualquer aba aberta pelo usuário.
Já a extensão DPS Websafe utilizava táticas de falsificação de marca (brand spoofing) ao adotar ícones do conhecido bloqueador Adblock Plus para enganar o público. Uma vez instalada, ela alterava o mecanismo de busca padrão para um domínio controlado pelos atacantes e rastreava a atividade de navegação sem qualquer consentimento.
Por fim, a Stock Informer também apresenta uma vulnerabilidade de Cross-Site Scripting (XSS), que permite a execução de códigos por terceiros devido a falhas na verificação de mensagens internas.
Campanha explora API do Chrome
Esse novo alerta surge em um momento de vulnerabilidades crescentes entre os navegadores. Diferente de casos recentes que envolveram extensões de espionagem distribuídas também para Firefox e Microsoft Edge, esta campanha específica foca em explorar a arquitetura e as permissões de API do Chrome.
O Google já removeu as extensões Children Protection e DPS Websafe. Os softwares Good Tab e Stock Informer, no entanto, continuavam disponíveis para download até a última atualização desta matéria.
A orientação dos especialistas é verificar os complementos instalados e desinstalar qualquer item que não seja essencial, além de priorizar desenvolvedores de reputação estabelecida.
Google Chrome: extensões maliciosas roubavam dados de usuários
