O sonho do cibercriminoso típico é realizar ataques sem levantar suspeitas entre suas vítimas. Quanto mais discreto for um ataque, mais eficaz ele tende a ser. Um grupo não identificado alcançou esse objetivo por um tempo: conseguiu adulterar extensões legítimas do Google Chrome, de modo que os usuários acabavam infectando seus computadores sem saber.
O mais curioso desse ataque é que uma das extensões comprometidas pertencia à Cyberhaven, uma empresa de prevenção contra a perda de dados. Quem poderia suspeitar de seu complemento para o navegador? Possivelmente nenhum de seus clientes — mas o código malicioso estava lá, tentando roubar determinadas informações privadas dos usuários.
Extensões com malware para roubar contas comerciais do Facebook
O objetivo dos criminosos era se apropriar de contas comerciais do Facebook. Embora essa rede social já tenha saído de moda para muitos, ela ainda possui uma enorme quantidade de usuários e, além disso, é uma peça-chave nas ações de marketing digital de muitas empresas, pois suas ferramentas também estão conectadas a outras redes da Meta, como o Instagram.
Uma análise da Cyberhaven – sim, a mesma que foi atacada – detalha que as extensões comprometidas coletavam informações como o token de acesso ao Facebook e o ID do usuário. Também tentavam obter dados sobre a conta por meio da API e enviavam todas essas informações, junto com os cookies do Facebook, para um servidor de comando e controle.
A grande questão é: como infectar uma extensão de uma empresa especializada em segurança (e mais de 30 extensões de outras companhias)? O vetor de ataque inicial utilizado por esses cibercriminosos é um exemplo claro de como as técnicas, cada vez mais sofisticadas, representam uma ameaça para todos os tipos de usuários.
Tudo começou com uma campanha de phishing. Alguém da equipe de desenvolvimento das empresas afetadas recebeu um e-mail em que os atacantes se passavam pelo Google. A mensagem utilizava uma tática comum nesse tipo de golpe: gerar alarme e provocar uma ação imediata. Dizia que sua extensão infringia as políticas da Chrome Web Store.
"Não permitimos extensões com metadados enganosos, mal formatados, não descritivos, irrelevantes, excessivos ou inadequados, incluindo, entre outros, a descrição da extensão, o nome do desenvolvedor, o título, o ícone, as capturas de tela e as imagens promocionais", afirmava o e-mail, acrescentando que a extensão poderia ser removida.
Como podemos ver na captura de tela, o e-mail parecia bastante legítimo à primeira vista. Na parte inferior, havia um botão de "Ir para a política". Ao clicar nele, a situação se complicava. Os cibercriminosos prepararam tudo para minimizar as suspeitas. As vítimas se deparavam com um fluxo de autorização padrão (e legítimo) do Google.
Porém, por trás disso, havia um recurso OAuth malicioso chamado "Privacy Policy Extension", que solicitava ao usuário acesso para gerenciar suas extensões. Sem desconfiar de nada, as vítimas acabavam concedendo o controle de suas extensões aos cibercriminosos, que posteriormente publicavam versões manipuladas dessas extensões para atrair novas vítimas.
Imagens | Google + Adobe Photoshop | Cyberhaven
Este texto foi traduzido/adaptado do site Xataka Espanha.
Ver 0 Comentários