Os analistas da AdGuard têm identificado 295 extensões maliciosas na Chrome Web Store que foram instalados 80,000,000 vezes. Essas extensões do navegador Chrome injetaram anúncios nos resultados de pesquisa do Google e do Bing.
A maioria das extensões perigosas se mascaravam como bloqueadores de anúncios e eram facilmente encontradas por consultas como adblock, adguard, bloquear, bloqueador de anúncios, e assim por diante. Também foram descobertas xtensões mascaradas em widgets de clima e utilitários para criação de capturas de tela.
Na verdade, 245 fora de 295 as extensões não tinham nenhuma funcionalidade útil para os usuários e só podiam alterar o plano de fundo personalizado para novas guias no Chrome.
Todas essas extensões não se tornaram maliciosas imediatamente: somente depois de receber o comando apropriado de um servidor remoto, eles baixaram código malicioso de fly-analytics.com, e então injetou silenciosamente anúncios nos resultados de pesquisa do Google e do Bing.
"Por exemplo, algumas extensões verificaram em qual página elas são executadas. Se fossem os resultados de pesquisa do Bing ou do Google, o malware baixou uma imagem do domínio lh3.googleusrcontent.com. Este domínio não tem nada a ver com o Google, e o nome é deliberadamente semelhante para confundir um observador em potencial”, – observe os pesquisadores.
Na imagem carregada desta forma, os anúncios são ocultados usando esteganografia, e a extensão eventualmente incorpora anúncios nos resultados de pesquisa.
Outras extensões usaram a técnica de cookie stuffing, aquilo é, depois de receber um comando do servidor de comando e controle, eles instalaram discretamente equipamentos especiais “parceiro” cookies na máquina da vítima. Por exemplo, se um usuário visitou Booking.com, os atacantes injetaram um “parceiro” cookie no sistema, e quando o usuário fez uma compra, o autor da extensão recebeu uma comissão da Booking.com.
Os pesquisadores observam que essas extensões fraudulentas compartilham uma série de características comuns, Incluindo:
- uma extensão baixada mais de 1,000,000 os tempos não podem ter 5-100 avaliações na Chrome Web Store;
- os falsos usam o código-fonte de outros bloqueadores de anúncios;
- essas extensões têm descrições muito curtas, máximo 2-3 parágrafos. Eles chegam ao topo dos resultados de pesquisa de maneira desonesta;
- a falsa política de privacidade geralmente é publicada no Google Docs ou Notion;
- extensões maliciosas usam o Gerenciador de tags do Google, que permite que seus operadores alterem a tag a qualquer momento e alterem completamente o código de extensão.
Atualmente, Os especialistas do Google já estão estudando os especialistas’ denunciar e remover malware da Chrome Web Store. Também, as extensões removidas serão desativadas nos usuários’ navegadores e marcados como malware.
Deixe-me lembrá-lo de que apenas recentemente os especialistas descobriram Maior campanha de instalação de spyware do Chrome.
