16 extensões populares do Chrome, incluindo o 'Adblock for Chrome', foram sequestradas em um grande ataque cibernético

Uma grande violação de segurança comprometeu mais de 3,2 milhões de usuários por meio de uma rede de extensões de navegador mal-intencionadas. Descobriu-se que essas extensões, que intencionalmente se apresentam como legítimas, injetam scripts nocivos, roubam dados e até mesmo se envolvem em fraudes em mecanismos de pesquisa. Os pesquisadores do site determinaram que o ataque foi executado por meio de um comprometimento da cadeia de suprimentos, em que os invasores se infiltraram em extensões confiáveis e enviaram atualizações mal-intencionadas sem que os usuários percebessem o que estava acontecendo.

As extensões em questão foram originalmente projetadas para bloqueio de anúncios, teclados de emojis e captura de tela, para mencionar alguns. No entanto, as atualizações introduziram scripts ofuscados que permitiram a exfiltração não autorizada de dados, modificações de solicitações HTTP e injeção de anúncios em páginas da Web. Todas essas alterações passaram despercebidas pelos usuários que haviam concedido permissões anteriores a essas extensões, o que permitiu que os invasores manipulassem a atividade da Web em tempo real. Vários especialistas em segurança apontaram que as permissões concedidas a essas extensões, incluindo acesso ao host e controles de script, as tornaram particularmente perigosas.

Aqui está a lista completa de todas as 16 extensões afetadas do Chrome:

• Blipshot (capturas de tela de página inteira com um clique)
• Emojis - Emoji Keyboard (teclado de emojis)
• WAToolkit
• Color Changer for YouTube
• Efeitos de vídeo para o YouTube e aprimorador de áudio
• Temas para Chrome e YouTube™ Picture in Picture
• Mike Adblock für Chrome | Chrome-Werbeblocker
• Atualização de página
• Wistia Video Downloader
• Modo Super Escuro
• Emoji Keyboard Emojis for Chrome
• Bloqueador de anúncios para o Chrome - NoAds
• Adblock para o senhor
• Bloqueio de anúncios para o Chrome
• Nimble Capture
• KProxy

As investigações rastrearam esse ataque a contas de desenvolvedores comprometidas. Alguns desenvolvedores, sem saber, acabaram transferindo o controle de suas extensões para os invasores, que então distribuíram atualizações maliciosas por meio de lojas oficiais de extensões de navegadores. A infraestrutura desse ataque parece estar vinculada a operações de phishing conhecidas anteriormente. Os agentes da ameaça conseguiram isso explorando permissões como 'host_permissions', 'scripting' e 'declarativeNetRequest'.

Outro aspecto preocupante dessa campanha é sua semelhança com ataques anteriores à cadeia de suprimentos, em que os atacantes utilizam software confiável como arma para espalhar malware. O uso de mecanismos de atualização de extensões de navegador permite que os atacantes contornem as medidas de segurança tradicionais.

Por enquanto, as extensões identificadas foram removidas das plataformas oficiais. Independentemente disso, os usuários são aconselhados a não confiar apenas em avaliações positivas sobre extensões antes de instalar novas extensões.