Em meio a um trabalho para manter a loja de complementos do Chrome, mais de 500 extensões foram removidas da Chrome Store. Conheça esse trabalho e seus resultados.
Os responsáveis pelo desenvolvimento do navegador Chrome têm trabalhado para manter um ambiente “saudável” na loja de complementos do navegador e, desde a integração do novo Google Manifest V3, várias alterações foram implementadas segurança e, especialmente, as controvérsias geradas pelo bloqueio de APIs que usam muitos complementos para bloquear a publicidade.
Todo esse trabalho foi resumido em diferentes resultados, dos quais foi anunciado o bloqueio de uma série de complementos maliciosos encontrados na Chrome Store.
Mais de 500 extensões foram removidas da Chrome Store
Na primeira etapa, a pesquisadora independente Jamila Kaya e a empresa Duo Security identificaram uma variedade de extensões do Chomre que inicialmente operam de maneira “legítima”, mas em uma análise mais profunda do código dessas operações detectadas foram detectadas. em segundo plano, a partir do qual muitos deles extraíram dados do usuário.
A Cisco Duo Security lançou o CRXcavator, nossa ferramenta automatizada de avaliação de segurança de extensões do Chrome, no ano passado gratuitamente para reduzir o risco de extensões do Chrome serem apresentadas às organizações e permitir que outras pessoas desenvolvam nossa pesquisa para criar um ecossistema Extensões do Chrome mais seguras para todos.
Depois de informar o Google sobre o problema, mais de 430 complementos foram encontrados no catálogo, cujo número de instalações não foi relatado.
Vale ressaltar que, apesar do número impressionante de instalações, nenhum dos complementos problemáticos tem análises de usuários, levando a perguntas sobre como os complementos foram instalados e como as atividades maliciosas passaram despercebidas.
Atualmente, todos os complementos problemáticos são removidos da Chrome Web Store. Segundo os pesquisadores, atividades maliciosas relacionadas a complementos bloqueados estão ocorrendo desde janeiro de 2019, mas os domínios individuais que foram usados para executar ações maliciosas foram registrados em 2017.
Jamila Kaya usou o CRXcavator para descobrir uma campanha em grande escala de extensões de imitação do Chrome que infectou usuários e extraiu dados através de publicidade maliciosa enquanto tentava evitar a detecção de fraudes no Google Chrome. Duo, Jamila e Google trabalharam juntos para garantir que essas extensões e outras semelhantes fossem encontradas e removidas imediatamente.
A maioria dos complementos maliciosos foi apresentada como ferramenta para promover produtos e participar de serviços de publicidade (o usuário vê anúncios e recebe deduções). Além disso, a técnica de redirecionamento para sites anunciados foi usada ao abrir páginas exibidas em uma cadeia antes de exibir o site solicitado.
Todos os complementos usaram a mesma técnica para ocultar atividades maliciosas e evitar mecanismos de verificação de complementos na Chrome Web Store.
O código para todos os complementos era quase idêntico no nível da fonte, com exceção dos nomes das funções que eram únicos em cada complemento. A lógica maliciosa foi transmitida a partir de servidores de administração centralizados.
Inicialmente, o plug-in foi conectado a um domínio com o mesmo nome que o plug-in (por exemplo, Mapstrek.com), após o qual foi redirecionado para um dos servidores de administração que forneceu o script para ações adicionais.
Entre as ações realizadas pelos complementos estão o download de dados confidenciais do usuário para um servidor externo, o encaminhamento para sites maliciosos e a aprovação da instalação de aplicativos maliciosos (por exemplo, uma mensagem sobre infecção do computador é exibida e malware é oferecido sob o disfarce de um antivírus ou uma atualização do navegador).
Os domínios redirecionados incluem vários domínios e sites de phishing para explorar navegadores desatualizados que contêm vulnerabilidades não corrigidas (por exemplo, após tentativas de exploração para instalar programas maliciosos que interceptam senhas e analisam a transferência de dados confidenciais por meio de da área de transferência).
Se você quiser saber mais sobre a nota, verifique a publicação original no seguinte endereço.
- PuTTY tem uma vulnerabilidade de alta prioridade
- Como instalar o ProFTPD no CentOS, Fedora, RHEL e derivados
- Como instalar o Warsaw para usar Internet Banking no Linux
- Como gerar um par de chaves SSH para poder autenticar remotamente