- A Koi Security encontrou 17 extensões maliciosas do Firefox que ocultam backdoors e códigos de rastreamento, baixadas mais de 50 mil vezes.
- As extensões extraíram cargas de servidores remotos, sequestraram links afiliados, injetaram rastreadores, removeram cabeçalhos de segurança e ativaram mecanismos de fraude publicitária.
- A Mozilla removeu todos os complementos afetados e atualizou seus sistemas de detecção; os usuários devem desinstalar e proteger suas contas
Especialistas alertam que cerca de uma dúzia de extensões do Firefox foram consideradas maliciosas, instalando backdoors e rastreando os hábitos de navegação dos usuários.
Isso é de acordo com pesquisadores de segurança da Koi Security, que apelidaram a campanha de “GhostPoster” e disseram que algumas dessas extensões têm uma maneira única de recuperar códigos maliciosos.
No total, essas extensões foram baixadas mais de 50 mil vezes.
Sequestro de links afiliados
Aqui está a lista completa do que encontramos até agora:
VPN grátis para sempre
captura de tela-salvar-fácil
a melhor previsão do tempo
gesto crxmouse
cache-fast-site-loader
downloader mp3 grátis
google-translate-clique com o botão direito
google-tradutor-esp
VPN mundial
leitor escuro para ff
tradutor-gbbd
eu gosto do clima
google-translate-pro-extensão
Google-Tradutor
libretv-ver-vídeos-gratuitos
parada de anúncio
clique com o botão direito-google-translate
Algumas dessas extensões armazenam código JavaScript malicioso no logotipo PNG. O código serve como uma instrução para baixar a carga principal de um servidor remoto. Para dificultar a detecção e a atribuição, os invasores fizeram com que as extensões baixassem a carga principal em 10% das vezes.
A carga principal pode fazer todo tipo de coisa. Primeiro, ele sequestra links afiliados dos principais sites de comércio eletrônico – roubando dinheiro diretamente dos criadores de conteúdo.
Em seguida, inclui o rastreamento do Google Analytics em cada página que o usuário visita e remove cabeçalhos de segurança de todas as respostas HTTP.
Finalmente, ele pode ignorar o CAPTCHA usando três mecanismos separados e injetar iframes invisíveis, que são usados principalmente para fraude publicitária, fraude de cliques e rastreamento. Esses iframes se autodestroem após aproximadamente 15 segundos.
Embora roubar dinheiro de afiliados e monitorar o comportamento dos usuários seja certamente um assunto sério, os pesquisadores alertam que a campanha pode se tornar ainda mais destrutiva a qualquer momento se os invasores decidirem começar a coletar senhas ou redirecionar os usuários para páginas falsas de login de bancos e sites de phishing semelhantes.
Após a notícia ser divulgada, a Mozilla investigou o relatório e decidiu remover todas as extensões encontradas de sua loja de navegadores.
“Nossa equipe de complementos investigou este relatório e, como resultado, tomou medidas para remover todas essas extensões do AMO”, disse a empresa ao BleepingComputer. “Atualizamos nossos sistemas automatizados para detectar e bloquear extensões que usam ataques semelhantes agora e no futuro. Continuamos a melhorar nossos sistemas à medida que novos ataques surgem.”
Se você estiver usando alguma dessas extensões, remova-a imediatamente e proteja suas contas críticas.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
