O Google removeu recentemente mais 106 extensões de sua Chrome Web Store depois que elas foram encontradas ilegalmente coletando dados sensíveis do usuário como parte de uma "campanha de vigilância global maciça" direcionada aos setores de petróleo e gás, finanças e saúde.
A Awake Security, que divulgou as conclusões no final da semana passada, disse que os complementos maliciosos do navegador estavam vinculados a um único registrador de domínio da Internet, o GalComm.
No entanto, não está claro imediatamente quem está por trás do esforço de spyware.
"Esta campanha e as extensões do Chrome envolvidas realizaram operações como tirar capturas de tela do dispositivo vítima, carregar malware, ler a área de transferência e coletar ativamente tokens e informações do usuário", disse Awake Security.
As extensões em questão se colocavam como utilitários, oferecendo recursos para converter arquivos de um formato para outro, entre outras ferramentas para navegação segura, além de contar com milhares de críticas falsas para enganar usuários desavisados na instalação deles.
Além disso, os atores por trás da operação utilizaram técnicas de evasão para evitar sinalizar os domínios como maliciosos por soluções anti-malware, permitindo assim que a campanha de vigilância não seja detectada.
No total, as extensões foram baixadas quase 33 milhões de vezes ao longo de três meses antes do Awake Security chegar ao Google em maio.
O gigante das buscas, em resposta às divulgações, desativou as extensões problemáticas do navegador. A lista completa dos IDs de extensão incorretos pode ser acessada aqui .
Os dados de telemetria revelaram que algumas dessas extensões estavam ativas nas redes de "serviços financeiros, petróleo e gás, mídia e entretenimento, assistência médica e farmacêutica, varejo, alta tecnologia, ensino superior e organizações governamentais", embora não haja evidências de que eles foram realmente usados para coletar dados confidenciais.
"A Galcomm não está envolvida nem cumpre nenhuma atividade maliciosa", disse à Reuters o proprietário do registrador israelense Moshe Fogel , que interrompeu o desenvolvimento.
As extensões fraudulentas na Chrome Web Store continuaram sendo um problema, o que acontece com os maus atores que a exploram para malvertising e outras campanhas de roubo de dados.
No início de fevereiro, o Google removeu 500 extensões invadidas por malware depois que foram flagradas servindo adware e enviando a atividade de navegação dos usuários para servidores controlados por invasores. Então, em abril, a empresa arrancou outro conjunto de 49 extensões que se disfarçavam como carteiras de criptomoeda para roubar informações do Keystore.
É recomendável que os usuários revisem as permissões de extensão acessando "chrome: // extensions" no navegador Chrome, considere desinstalar aqueles que raramente são usados ou alternem para outras alternativas de software que não exijam acesso invasivo à atividade do navegador.
