Pesquisadores de Inteligência de Ameaças da Avast identificaram um malware oculto em pelo menos 28 extensões de terceiros do Google Chrome e do Microsoft Edge associadas a algumas das plataformas mais populares do mundo. O malware tem a funcionalidade de redirecionar o tráfego do usuário para anúncios ou sites de phishing e roubar as informações sigilosas das pessoas, como datas de nascimento, endereços de e-mails e dispositivos ativos. De acordo com os números de download das lojas de aplicativos, cerca de três milhões de pessoas podem ter sido afetadas em todo o mundo.
As extensões que ajudam os usuários a baixar vídeos dessas plataformas incluem Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock e outras extensões dos navegadores Google Chrome e do Microsoft Edge. Os pesquisadores identificaram um código malicioso nas extensões baseadas em Javascript, que permite que as extensões baixem mais malware no PC do usuário.
Os usuários também relataram que essas extensões estão manipulando sua experiência na Internet e os estão redirecionando para outros sites. Sempre que um usuário clica em um link, as extensões enviam informações sobre o clique para o servidor de controle do invasor, o qual pode, opcionalmente, enviar um comando para redirecionar a vítima do link real de destino para um novo URL sequestrado, antes de redirecioná-la posteriormente para o site oficial que desejava visitar. A privacidade do usuário é comprometida por este procedimento, já que um registro de todos os cliques está sendo enviado para esses sites intermediários de terceiros.
Os cibercriminosos também exfiltram e coletam as datas de nascimento do usuário, endereços de e-mail e informações do dispositivo, incluindo hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional, navegador usado e sua versão, até mesmo endereços IP (que podem ser utilizados para encontrar o histórico de localização geográfica aproximada do usuário).
Os pesquisadores da Avast acreditam que o objetivo por trás disso é monetizar o próprio tráfego. Para cada redirecionamento para um domínio de terceiros, os cibercriminosos receberiam um pagamento. No entanto, a extensão também tem a capacidade de redirecionar os usuários para anúncios ou sites de phishing.
"Nossas hipóteses são que as extensões foram criadas deliberadamente com o malware embutido ou o autor esperou que as extensões se tornassem populares e, em seguida, enviou uma atualização contendo o malware. Também pode ser que o autor vendeu as extensões originais para outra pessoa depois de criá-las e, então, o comprador introduziu o malware mais tarde", diz Jan Rubín, Pesquisador de Malware da Avast.
A equipe de Inteligência de Ameaças da Avast começou a monitorar essa ameaça em novembro de 2020, mas acredita que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de link desde dezembro de 2018. Rubín acrescenta: "Os backdoors das extensões estão bem escondidos e as extensões somente começam a exibir um comportamento malicioso dias após a instalação, o que torna difícil que qualquer software de segurança possa descobrir isso".
O malware tem sido bastante difícil de detectar, pois tem a capacidade de "se esconder". O pesquisador de malware da Avast, Jan Vojt?šek, destaca que "o vírus detecta se o usuário está pesquisando um de seus domínios ou, por exemplo, se o usuário é um desenvolvedor web e, se for o caso, não realizará nenhuma atividade maliciosa em seus navegadores. Isso evita infectar pessoas mais habilitadas em desenvolvimento web, já que elas poderiam descobrir mais facilmente o que as extensões estão fazendo em segundo plano".
No momento, as extensões infectadas ainda estão disponíveis para download. A Avast contatou as equipes da Microsoft e do Google Chrome para denunciá-las. Tanto a Microsoft quanto o Google confirmaram que estão investigando o problema. Enquanto isso, a Avast recomenda que os usuários desabilitem ou desinstalem as extensões por enquanto, até que o problema seja resolvido e, em seguida, escaneiem e removam o malware.