2021/02/06

Extensões maliciosas escondiam comunicações como dados estatísticos da Google

Uma série de extensões maliciosas para o Chrome e Edge, instaladas 3 milhões de vezes, usavam técnicas bastante criativas para esconder as suas comunicações.

O problema das extensões maliciosas está a tornar-se cada vez mais frequente, e é fácil perceber porquê. Uma extensão pode ter acesso total ao que um utilizador faz no seu browser, sendo por isso um atractivo vector de ataque para os atacantes - e a sua sofisticação atinge níveis impressionantes, como revelou esta recente vaga de extensões maliciosas que chegou a 3 milhões de pessoas.

Estas extensões, que se faziam passar por extensões para melhorar serviços de chat ou para fazer downloads de vídeos e músicas, usavam uma táctica original para disfarçar as comunicações maliciosas, fazendo-o como se fossem meras comunicações para efeitos de estatísticas ao estilo do Google Analytics, com os comandos a serem enviados através de parâmetros cache-control codificados. Mas as tácticas para passarem despercebidas não se ficavam por aqui.
Estas extensões suspendiam as actividades maliciosas caso detectassem extensões já instaladas que habitualmente são utilizadas por web developers ou investigadores de segurança; também o faziam ao detectar que o utilizador abria as ferramentas de developer do browser, ou se detectasse pesquisas referentes aos seus servidores de comando; para além de coisas mais comuns, como esperar vários dias após a instalação antes de dar início à actividade maliciosa.

Neste caso, ter uma extensão popular entre web developers servia como "anti-malware", o que não deixa de ser curioso. Mas, o importante é relembrar que, tal como nos smartphones e nas apps, não se devem instalar extensões que pareçam suspeitas. A maioria destas extensões pedia o acesso a tudo o que se faz no browser, quando isso era algo que era manifestamente exagerado face às coisas que supostamente faziam.

Nada como limitar as extensões apenas ao uso mais restrito possível, incluindo limitar o seu funcionamento a sites específicos.

Sem comentários:

Publicar um comentário (problemas a comentar?)

[pub]