O Laboratório de Ameaças da FortiGuard anunciou que uma nova ameaça cibernética sofisticada está explorando extensões de navegador para roubo de dados sensíveis. Batizada de RolandSkimmer, é uma operação feita por cibercriminosos, que usa uma extensão aparentemente inofensiva no Microsoft Edge chamada “Disable Content Security Policy”, mas que visa burlar restrições de Segurança em sites. Trata-se de um disfarce para uma ferramenta de espionagem digital.
A pesquisa da Fortnet revelou que os usuários, ao instalarem a extensão, também habilitam permissões invasivas, como acesso aos dados de navegação, abas abertas, armazenamento local e manipulação de requisições de rede. Isso permite ao invasor vigiar o comportamento do usuário, roubar informações e garantir que o ataque permaneça ativo mesmo após reinicializações.
A extensão monitora campos de formulários online e captura as informações antes do envio. Tudo é feito de forma discreta, com uso de códigos maliciosos e servidores externos para onde os dados são enviados. O relatório apontou que um dos principais alvos são dados de cartão de crédito.
Para garantir que a ameaça se mantenha no sistema, os criminosos clonam o navegador Edge em uma pasta escondida e criam atalhos falsos com comandos para iniciar o navegador infectado. Os dados levantaram que os atalhos substituem os ícones originais da área de trabalho e da barra de tarefas, enganando o usuário que continua usando o navegador normalmente sem saber que está sendo espionado.
A campanha ainda inclui componentes para o Firefox, usando o mesmo tipo de artifício para simular extensões legítimas. Segundo os pesquisadores da equipe da Trustwave SpiderLabs, que identificaram o ataque, há evidências de que os criminosos armazenam registros detalhados das vítimas em servidores externos, com todos os passos da infecção documentados.
A operação do RolandSkimmer mostra como ataques com aparência inofensiva podem comprometer profundamente a privacidade e a segurança digital. A recomendação da organização foi de desconfiar de atalhos suspeitos, evitar instalar extensões fora de lojas oficiais e, principalmente, manter sistemas de proteção sempre atualizados.
