Ameaça de Segurança: Extensões do Chrome com Código Malicioso
Recentemente, foi descoberto que diversas extensões do Google Chrome, algumas com milhões de usuários, continham códigos maliciosos. Em muitos casos, tratava-se de extensões legítimas que foram sequestradas, ou de desenvolvedores que inseriram código suspeito intencionalmente.
Se você reconhece alguma das extensões listadas, é crucial desinstalá-las imediatamente e, por precaução, alterar suas senhas, especialmente a do Facebook, mas idealmente todas as senhas importantes. O que torna essa situação ainda mais alarmante é que várias das extensões afetadas possuíam o selo de “extensão em destaque” (featured extension).
Devido ao recurso de atualização automática do Chrome, se você tinha essas extensões instaladas, é muito provável que seu dispositivo tenha sido infectado, independentemente de quando a instalação original ocorreu.
Como Ocorreu a Infecção
O ataque principal parece ter se dado na véspera de Natal. Hackers enviaram e-mails de phishing para desenvolvedores de extensões do Chrome, utilizando o endereço de suporte listado em suas páginas na Chrome Web Store.
Esses e-mails alegavam que a extensão violava alguma política, solicitando que o desenvolvedor clicasse em um link para fazer login e verificar a notificação. Ao clicar, o desenvolvedor autorizava inadvertidamente um aplicativo que ganhava acesso à sua conta de desenvolvedor, contornando até mesmo a autenticação de dois fatores.
Uma vez com acesso, os invasores modificavam o código da extensão e publicavam a atualização na Chrome Web Store. Consequentemente, todos os usuários com essas extensões instaladas recebiam o código malicioso automaticamente através da atualização.
A Lista de Extensões e o Risco
Uma empresa especializada em segurança de extensões compilou uma lista completa das extensões comprometidas. Essa lista também incluía algumas que já apresentavam indicadores de comprometimento de campanhas maliciosas anteriores.
Embora a maioria das extensões ligadas ao ataque de 25 de dezembro já tenha sido removida ou corrigida pelos desenvolvedores, o fato de o código malicioso ter sido instalado localmente significa que você deve tratar sua situação como se estivesse infectado.
O aspecto mais preocupante é que várias dessas extensões possuíam o selo de destaque. Normalmente, isso implica que a equipe da Chrome Web Store realiza uma análise manual dessas extensões. Embora seja possível que as atualizações subsequentes não passem por essa revisão rigorosa, o selo gera uma percepção de maior confiança para o usuário. Em sua maioria, as extensões eram legítimas até que as contas dos desenvolvedores fossem comprometidas.
Análise do Código Malicioso
Observando as alterações feitas pelos hackers em um exemplo específico, como a extensão YesCaptcha, foi notado que um código adicional foi inserido no final do arquivo `background.js` existente, em vez de ser adicionado um novo arquivo.
Além disso, os invasores registraram domínios personalizados para muitas dessas extensões (por exemplo, `YesCaptcha.pro`). É fundamental **não acessar** esses sites, pois são maliciosos. Eles foram criados para parecerem mais legítimos dentro do código da extensão.
A função adicionada buscava um arquivo externo desse domínio recém-registrado e o carregava no *local storage* do Chrome. Aparentemente, esse arquivo secundário era responsável por roubar cookies e dados do Facebook, visando invadir contas de negócios. Embora o foco pareça ter sido o Facebook, não se pode descartar o roubo de outros tipos de dados.
Algumas extensões na lista de ameaças, como a “Where Is Cookie”, foram sinalizadas devido a URLs maliciosas conhecidas, frequentemente associadas a fraudes de afiliados. Nesses casos, a alteração não era resultado de um sequestro da conta do desenvolvedor, mas sim uma adição intencional de código malicioso, o que é considerado um cenário ainda pior.
Portanto, é altamente recomendável desinstalar qualquer item que conste nesta lista, mesmo que pareça não ter sido atualizado recentemente. Em verificações independentes, constatou-se que algumas extensões, como YesCaptcha e ParrotTalk, parecem ter sido atualizadas para remover o código prejudicial, mas a precaução é necessária. Caso você as tenha instalado em algum momento, é essencial redefinir as senhas do Facebook.
Perguntas Frequentes
- O que devo fazer se tinha uma dessas extensões instalada?
Você deve desinstalá-la imediatamente e redefinir suas senhas, especialmente a do Facebook, tratando o seu sistema como potencialmente comprometido. - Como os hackers conseguiram acesso às contas dos desenvolvedores?
Eles usaram e-mails de phishing que se passavam por notificações de violação de política da Chrome Web Store, fazendo com que os desenvolvedores autorizassem um aplicativo malicioso, o que desabilitava a autenticação de dois fatores. - Por que as extensões com selo “featured” são mais preocupantes?
O selo sugere uma revisão manual, dando uma falsa sensação de segurança. O fato de estarem comprometidas indica que o processo de segurança não impediu a injeção de código malicioso. - É possível que o código malicioso tenha sido removido pelos desenvolvedores?
Sim, em alguns casos, os desenvolvedores corrigiram o problema após a descoberta. Contudo, se a extensão foi instalada em sua máquina, o código já esteve presente e a limpeza deve ser feita manualmente. - Qual o propósito dos domínios personalizados registrados pelos hackers?
Os domínios eram usados para hospedar arquivos maliciosos secundários, que eram baixados e executados no navegador do usuário, tornando o ataque mais complexo e difícil de ser detectado apenas analisando o código inicial da extensão.
