Anteriormente divulgamos, aqui no blog, que cinco extensões do Google Chrome foram hackeadas e modificadas para captura de dados dos usuários. Agora sabe-se que o estrago foi muito pior do que se imaginava.
Essee incidente de segurança revelou como hackers conseguiram sequestrar 35 extensões do Google Chrome, comprometendo a segurança de milhões de usuários. As extensões afetadas foram baixadas mais de 17 milhões de vezes, o que destaca a gravidade do ataque e o potencial alcance do problema.
O grupo de hackers, conhecido como DevOps, utilizou uma técnica chamada injeção de código para inserir código malicioso nas extensões e coletando informações como credenciais de login, histórico de navegação e cookies, expondo os usuários a riscos significativos.
Eles também usaram as extensões comprometidas para disseminar malware e realizar ataques de phishing. O ataque ressalta a importância de utilizar apenas extensões confiáveis e de mantê-las sempre atualizadas para evitar vulnerabilidades.
O Google agiu rapidamente, removendo as extensões comprometidas da Chrome Web Store, iniciando esforços para mitigar os danos causados pelo ataque. Os usuincideforam aconselhados a revisar as permissões concedidas às extensões e a remover as que não reconhecem ou em que não confiam.
Este incidente serve como um alerta para a necessidade de vigilância constante, em relação à segurança online. A situação destaca a importância de práticas de segurança cibernética robustas, tanto para desenvolvedores quanto para usuários, para proteger informações pessoais e evitar futuros ataques.
Engenharia Social e Isca
O ataque se inicia com um e-mail cuidadosamente elaborado, disfarçado como uma notificação do Google, alertando os desenvolvedores de que suas extensões violam as políticas da Chrome Web Store. O objetivo é induzir o desenvolvedor a clicar em um link que o direciona a uma página de login falsa do Google.
Ao inserir suas credenciais na página falsa, o desenvolvedor concede aos atacantes acesso à sua conta do Google, permitindo que os invasores modificassem a extensão, inserindo código malicioso que tinha como alvo as contas do Facebook.
Com as extensões comprometidas, os atacantes publicaram novas versões na Chrome Web Store, infectando todos os que as instalaram ou atualizaram. O código malicioso, presente nos arquivos “worker.js” e “content.js”, foi responsável por roubar informações sensíveis das contas do Facebook dos usuários.
O malware coletava uma variedade de dados, incluindo tokens de acesso, informações da conta, informações de anúncios e até mesmo dados relacionados à autenticação de dois fatores do Facebook. O objetivo principal dos atacantes era sequestrar as contas do Facebook dos usuários, para serem utilizadas em diversas atividades maliciosas.
A campanha de phishing foi altamente sofisticada, com os atacantes utilizando técnicas de engenharia social, domínios falsos e código malicioso customizado. A escala do ataque também foi significativa, com 35 extensões sendo comprometidas. Os atacantes demonstraram um profundo conhecimento das plataformas Google e Facebook, o que lhes permitiu executar o ataque com sucesso.
O malware instalado nas extensões do Chrome monitorava de perto as ações dos usuários no Facebook. Especificamente, ele buscava por cliques em imagens de códigos QR, que são comumente usadas para a autenticação de dois fatores (2FA).
Ao identificar esses cliques, os atacantes tinham como objetivo capturar as informações necessárias para contornar a proteção 2FA do Facebook. Essa etapa era crucial para que pudessem assumir o controle completo das contas das vítimas.
Uma vez que as informações relevantes eram coletadas, elas eram enviadas para um servidor controlado pelos atacantes (C2). Junto com os dados da 2FA, outras informações valiosas, como cookies do Facebook, ID do usuário e histórico de cliques, também eram exfiltradas. Com o controle das contas do Facebook, os atacantes tinham diversas opções para monetizar suas ações
Conclusão
Esses ataques, bem sucedidos, começaram com os preparativos iniciais em março do ano passado. Ele centrou-se na parte mais fraca da segurança, a do usuário. De qualquer forma, o uso de extensões deve ser muito bem pensado, sendo utilizada as extremamente necessárias para se adicionar um recurso extra. De mais, deve-se ficar longe delas.
Fontes: links no texto