Investigadores da empresa de segurança Guardio Labs descobriram uma nova campanha de publicidade maliciosa que se baseia em extensões do Google Chrome que se apoderam das pesquisas e inserem links de afiliados em páginas na Internet.
Extensões do Google Chrome apoderam-se das pesquisas!
Todas essas extensões oferecem opções de personalização de cores e chegam à máquina da vítima sem nenhum código malicioso para evitarem a deteção. Assim os os analistas designaram a campanha de “cores dormentes”.
De acordo com o relatório da Guardio, em meados de outubro de 2022, 30 variantes das extensões perigosas estavam disponíveis nas lojas Chrome e Edge. Assim acumularam mais de um milhão de instalações.
A infecção começa com anúncios ou redirecionamentos ao visitarmos páginas na Internet que disponibilizam um vídeo ou download.
Assim se tentarmos descarregar o programa ou se quisermos ver o vídeo somos redirecionados para outro site que nos diz que devemos instalar uma extensão para continuar, conforme demonstrado abaixo.
Quando o visitante clica no botão ‘OK’ ou ‘Continuar’, pedem-nos para instalarmos uma extensão de mudança de cor. É só depois dessa instalação feita que começam os problemas. A partir desse momento somos levados para os sites perigosos e é nessa altura que as ameaças começam a entrar no computador.
Os investigadores alertam que, usando a mesma técnica furtiva de carregamento de código malicioso os criminosos podem conseguir coisas potencialmente mais desagradáveis do que sequestrar afiliações.
Entretanto esta ameaça muito perigosa também consegue redirecionar as vítimas para páginas de phishing para roubar credenciais do Microsoft 365, Google Workspace, sites de bancos ou plataformas de redes sociais.
Não há sinais de que as campanhas apostam mais neste comportamento perigoso. No entanto os investigadores dizem que é possível ativar a função simplesmente carregando scripts adicionais.
Entretanto as extensões e os sites listados no relatório da empresa de segurança desapareceram. No entanto os investigadores alertam que a operação é constantemente renovada com novos nomes e domínios.