Mais de 100 mil computadores foram infectados com um malware que se disfarçava de extensão para o navegador Chrome. A ameaça, que estava disponível na loja oficial de add-ons do browser do Google, conseguia roubar credenciais e minerar criptomoedas sem que o usuário notasse.
A ameaça foi detectada por pesquisadores da empresa de segurança Radware e estava espalhada por ao menos sete extensões maliciosas do Chrome, todas elas disponíveis para download a partir da loja Chrome Web Store, ao menos desde março. Das mais de 100 mil vítimas, ao menos uma estava dentro de “uma rede bem protegida” de uma empresa de alcance global, de acordo com os pesquisadores.
As extensões usavam nome de games populares e também artistas musicais, entre outras coisas. Segundo a Radware, a ameaça se escondia nas extensões Nigelify, PwnerLike, Alt-J, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate e iHabno.
As ameaças se espalhavam a partir de links compartilhados pelo Facebook com páginas falsas do YouTube que pediam pela instalação dos add-ons. A partir do momento em que estavam no computador da vítima, o malware executava um código JavaScript que colocava a máquina da vítima como parte de um botnet, que era usada para coletar informações do usuário e para tentar atingir amigos dele pelo Facebook a partir de links para sites maliciosos.
O malware também minerava diferentes criptomoedas, como monero, bytecoin e electroneum. E, para dificultar a remoção da extensão falsa por parte dos usuários, os hackers fechavam abas relacionadas a elas assim que eram abertas, além de desativar ferramentas de segurança oferecidas por Facebook e Google.
O Google já removeu as sete extensões alertadas pela Radware, mas a presença do malware na loja do Chrome mostra a dificuldade que o Google encontra para conter a disseminação de ameaças pelo seu navegador.
Nos últimos meses, extensões falsas se espalharam pela Chrome Web Store diversas vezes e atingiram centenas de milhares de usuários.
Apesar dos esforços do Google para eliminar as ameaças o mais rápido possível, elas acabam atingindo uma quantidade grande de pessoas antes da empresa agir. E, quando enfim consegue agir, os hackers encontram novas formas de atacar usuários a partir da loja de extensões.