Assine nossa newsletter
- Koi Security revela campanha de malware sequestrando mais de 500.000 contas VKontakte por meio de extensões do Chrome
- As vítimas se inscreveram automaticamente em grupos de invasores VK (1,4 milhão de membros), manipularam tokens CSRF, injetaram anúncios e roubaram dados de pagamento.
- A campanha está em execução desde meados de 2025, mantida pelo ator de ameaça “2vk”, visando principalmente usuários que falam russo.
Mais de meio milhão de contas VKontakte foram sequestradas em uma campanha de malware originada na Google Chrome Web Store.
A campanha foi detectada por pesquisadores da Koi Security e incluiu cinco extensões anunciadas como melhorias na plataforma.
No geral, os complementos foram instalados mais de 500 mil vezes e pelo menos um foi removido da Chrome Web Store após ser visualizado. Koi disse que todos eles eram mantidos por um único agente de ameaça com o nome GitHub “2vk”.
O que é isso para o invasor?
VKontakte é basicamente o “Facebook russo”. É uma rede social muito semelhante ao Facebook e possui cerca de 650 milhões de usuários.
Ao pesquisar o código de publicidade do Yandex, os pesquisadores encontraram cinco extensões que aparentemente podem mudar o tema da plataforma social e melhorar a experiência do usuário.
No entanto, em segundo plano, o malware inscreveu automaticamente os usuários nos grupos VK do invasor (agora com 1,4 milhão de membros), redefine as configurações da conta para substituir as preferências do usuário a cada 30 dias, manipula tokens CSRF para contornar as proteções de segurança do VK, rastreia o status da doação para bloquear recursos e monetizar as vítimas e mantém código de injeção persistente.
Ter 1,4 milhão de pessoas na mesma equipe e ter acesso aos cookies CSRF e informações de pagamento traz muitas vantagens. Para começar, aumentam a legitimidade percebida dos complementos e podem veicular mais anúncios e malware. Uma das extensões foi inserir scripts de publicidade do Yandex em todas as páginas abertas pelo usuário, trazendo ganho financeiro direto aos invasores.
Além disso, ao manipular cookies CSRF (Cross-Site Request Forgery), o hacker pode agir como vítima, sem a necessidade de senha. Eles podem enviar mensagens para você, acessar seus dados privados ou até mesmo alterar seu endereço de e-mail de recuperação.
Por fim, o malware inclui um sistema de “recurso premium” para rastrear “doações”. Os complementos são gratuitos, mas vêm com uma versão “pro” paga. Assim, as vítimas perdem as informações do cartão de crédito e permanecem em risco.
A campanha provavelmente começou em meados de 2025 e dura até hoje. Destina-se principalmente a utilizadores que falam russo, embora as vítimas tenham sido detectadas na Europa de Leste, na Ásia Central e noutros locais.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
