Descoberta rede de extensões maliciosas de navegadores que infectou milhões de usuários

Extensões maliciosas sequestravam cliques das vítimas e modificavam resultados do mecanismo de pesquisa. Brasil, Ucrânia e França estão entre os três principais países, onde usuários baixaram e instalaram extensões CacheFlow

Compartilhar:

Em dezembro do ano passado, a Avast revelou que 28 extensões maliciosas de navegadores disponíveis para download do Google Chrome e Microsoft Edge foram infectados com malware. Agora, o Laboratório de Ameaças da Avast traz mais detalhes sobre essa pesquisa, mostrando o que essas extensões de navegadores mal-intencionadas procuram: roubar informações sigilosas das contas do Google da vítima, sequestrar cliques dos usuários e modificar os resultados de pesquisas, enviando as vítimas para sites ou propagandas falsas.

 

Dentre as descobertas dos especialistas da Avast está o modo que os criadores dessas extensões maliciosas as usaram. Trata-se de uma nova tática dos cibercriminosos para ocultar o tráfego de Comando e Controle (C&C), tentando fazer com que parecesse ser tráfego do Google Analytics. Os criadores também incluíram táticas para tentar se esconder de desenvolvedores e analistas de malware.

 

Ainda de acordo com a Avast, os ataques aconteciam ao longo de dias, da seguinte forma:

 

1. A vítima baixa uma extensão maliciosa.

2. Três dias após a instalação, o código malicioso usa um canal secreto para baixar um downloader intermediário.

3. O downloader intermediário baixa uma carga útil CacheFlow.

4. Cada vez que o navegador é executado, a carga útil CacheFlow:

 

• Executa verificações de desenvolvedor e anti-análise.

• Faz tentativas para roubar informações sigilosas da conta do Google do usuário.

• Um código é injetado em cada nova aba, quando aberta.

• O malware rouba os cliques do usuário e modifica os resultados de suas pesquisas.

 

“CacheFlow foi notável em particular pela maneira como as extensões maliciosas tentavam ocultar seu comando e controlar o tráfego em um canal secreto, usando um cabeçalho HTTP de Controle de Cache em suas solicitações de análise. Acreditamos que esta é uma nova técnica. Além disso, parece que o tráfego no estilo do Google Analytics foi agregado não apenas para ocultar comandos maliciosos, mas de forma que os autores da extensão também estivessem interessados nas solicitações de análise em si. Acreditamos que eles tentavam resolver dois problemas: comando e controle, e obter informações analíticas com uma solução”, diz Jan Vojtěšek, Pesquisador de Malware da Avast.

 

Jan Rubín, que também é Pesquisador de Malware da Avast acrescenta: “conseguimos encontrar muitas outras extensões que estavam fazendo a mesma coisa, ou seja, ofereciam várias funcionalidades legítimas, muitas delas baixando vídeos para plataformas populares de mídia social. Após a engenharia reversa do JavaScript ofuscado, descobrimos que a principal carga maliciosa entregue por essas extensões era responsável por redirecionamentos maliciosos do navegador. Não só isso, mas os cibercriminosos também estavam coletando muitos dados sobre os usuários de extensões maliciosas, como todas as suas consultas de mecanismo de pesquisa ou informações sobre tudo o que clicaram”.

 

O levantamento da Avast ainda mostra que as extensões exibiram um nível bastante alto de furtividade ao empregar muitos truques, para diminuir as chances de detecção. Em primeiro lugar, os cibercriminosos evitaram infectar usuários que provavelmente seriam desenvolvedores web. Eles determinaram isso por meio das extensões que o usuário instalou ou verificando se o usuário acessou sites hospedados localmente. Além disso, as extensões atrasaram sua atividade maliciosa por pelo menos três dias após a instalação, para evitar um alerta precoce.

 

Quando o malware detectava que as ferramentas do desenvolvedor do navegador estavam abertas, ele desativava imediatamente sua funcionalidade maliciosa. CacheFlow também verificou todas as consultas de pesquisa do Google e se o usuário estava pesquisando por um dos domínios de Comando e Controle (C&C) do malware, então, relatava isso ao seu servidor C&C e podia também desativar a si próprio. De acordo com análises de usuários na Chrome Web Store, parece que CacheFlow estava ativo pelo menos desde outubro de 2017.

 

A Avast ressalta que pelo menos 3 milhões de usuários em todo o mundo baixaram e instalaram as extensões maliciosas para o Google Chrome. Com base em sua telemetria, a companhia ainda aponta que os três principais países onde os usuários baixaram e instalaram as extensões CacheFlow foram: Brasil, Ucrânia e França.

 

 

Distribuição de usuários Avast que instalaram uma das extensões maliciosas

 

 

 

 

 

 

 

 

 

 

 

 

 

Na ocasião, a Avast notificou o Google e a Microsoft, e ambas as empresas retiraram todas as 28 extensões maliciosas até 18 de dezembro de 2020.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...