Saiba como se proteger de extensões maliciosas do Chrome

Uma recente campanha criminosa que tinha como alvo usuários do Facebook utilizou um novo vetor de ataque: extensões do Chrome maliciosas.

O ataque, que ocorreu no Brasil, “chamou nossa atenção não porque pedia que o usuário instalasse uma extensão maliciona, mas porque a extensão estava hospedada na loja oficial do Chrome, a Chrome Web Store”, apontou Fabio Assolin, pesquisador de segurança da Kaspersky Lab. “Se o usuário clicasse em ‘instalar aplicativo’, ele seria redirecionado para a loja oficial. A extensão maliciosa se apresenta como ‘Adobe Flash Player’”, o que é irônico, porque o Chrome não apenas inclui uma versão bult-in do player, mas a atualiza automaticamente.

A existência de extensões maliciosas do Chrome gera duas perguntas: O que ela podem fazer, e como você pode detê-la? Aqui estão seis fatos que as respondem:

1. 1. Extensões podem espalhar ataques no Facebook. No caso do Flash Player falso, a extensão primeiro faz o download do arquivo script, que pode, então, enviar comandos para o perfil na rede social do usuário, incluindo fazer com que eles curtam qualquer página que o atacante designar. Eles ainda podem criar um post com qualquer tipo de mensagem ou convidar mais pessoas a instalar a extensão maliciosa do Chrome – além de qualquer outro aplicativo malicioso do site

 

2. 2. Extensões maliciosas podem ser monetizadas. Por que os atacantes gastariam tempo com uma extensão maliciosa do Chrome ou tentando ganhar acesso às contas dos usuários do Facebook? “Provavelmente você está se perguntando como os caras maus transformam esses ataquem em dinheiro”, disse Assolini. “Bem, é simples: eles têm total controle sobre o perfil das vítimas, então eles podem criar serviços para vender ‘Curtir’ na rede social focados em companhias que querem promover suas contas e ganhar mais fãs e visibilidade.”

 

3. 3. Extensões oferecem capacidades JavaScript. “Extensões do Chrome são más”, afirmou Felix “FX” Lindner, chefe do Recurity Labs em Berlim, durante uma palestra na Black Hat Europe. “É quase como se elas fossem inventadas para disseminar trojans bancários”, disse. Isso porque elas são utilizadas para reescrever qualquer coisa que está no browser, assim como injetar JavaScript. Historimanete, é lógico, um atacante teria que encontrar um bug no browser ou em uma aplicação web para poder explorá-lo, para então fazer a injeção. “Apenas agora que essa ameaça foi incorporada no Chrome, o que facilitou e fez o ataque ficar mais eficiente.”

 

4. 4. Google ID oferece pontos fracos na segurança. Como os atacantes instalam extensões maliciosas? “uma coisa que você pode fazer é entrar na conta do Google” de um desenvolvedor, disse Lindner, e então substituir uma normal por uma maliciosa. Em apenas algumas horas, a atualização da extensão será levada aos usuários ativos. Porém, para um ataque funcionar, os atacantes devem primeiro adivinhar ou roubar a senha e o nome de usuário de um desenvolvedor Google – que não deve ter a proteção da autenticação de dois fatores da empresa.

 

5. 5. As extensões do Google Chrome exercem um poder enorme. “Uma vez que você tem uma extensão maliciosa em seu navegador Chrome, você está muito bem [tivemos que retirar um palavrão aqui]”, disse Lindner. Por exemplo, os atacantes podem usar uma extensão para executar o JavaScript malicioso e o diálogo de gerenciamento de extensão no Chrome é processado pelo código. Como resultado, um atacante pode “automaticamente instalar extensões”. Por exeplo: ele pode criar um código JavaScript que simplesmente clica sim para qualquer solicitação “você deseja instalar isso?”.

 

6. 6. Google faz extensões maliciosas nuke. No caso do ataque ao Facebook que serviu como uma extensão Chrome maliciosa, a Kaspersky Lab conseguiu relatá-la para o Google e eles a removeram rapidamente, disse Assolini. “Mas nós notamos que os caras maus por trás desse esquema malicioso fazem o upload de novas extensões regularmente, em um jogo de gato-e-rato.” Para informação, a extensão foi instalada por cerca de mil pessoas, a maior parte no Brasil e em Portugal.

Sabendo desses riscos em potencial, “pense duas vezes antes de instalar uma extensão do Google Chrome”, alertou Assolini.