Extensão maliciosa do Google Chrome tem pico de detecções em maio

Extensão maliciosa do Google Chrome tem pico de detecções em maio

Por Dácio Castelo Branco | Editado por Claudio Yuge | 26 de Maio de 2022 às 18h20
Canaltech/Felipe Freitas

O malware ChromeLoader, que se instala como uma extensão maliciosa do Google Chrome com o objetivo de alterar resultados de pesquisas na internet, teve um enorme crescimento de detecções no mês de maio, segundo a firma de segurança virtual Red Canary, que acompanha a ameaça desde fevereiro deste ano.

O ChromeLoader é um vírus que altera configurações de navegadores para sempre mostrar resultados em sites de pesquisas que promovem softwares desconhecidos, falsos sorteios e pesquisas, além de jogos adultos e páginas de relacionamento suspeitas. Os controladores da ameaça lucram a partir dos acessos a esses endereços.

Existem muitos vírus com funcionamento semelhante, mas o ChromeLoader se destaca, segundo a Red Canary, por como sua infecção acontece. Normalmente, ela é iniciada a partir de anúncios em redes sociais, como o Twitter, de versões piratas de alguns aplicativos de Android, que podem ser acessadas a partir do escaneamento de códigos QR.

Os arquivos contidos em uma ISO usada para infecção de computadores com o ChromeLoader. (Imagem: Reprodução/Red Canary)

Esses códigos QR, porém, levam usuários a sites maliciosos, que baixam arquivos disfarçados de ISO (documentos que simulam CDs e DVDs). Quando esses documentos são clicados, um executável supostamente relacionado ao programa que a ameaça está se disfarçando são copiados para as máquinas, e caso eles sejam abertos, a infecção chega no estágio de implantar o vírus no computador.

Para a implantação da ameaça, o executável utiliza um script do PowerShell que baixa, de um servidor remoto, uma extensão maliciosa do Chrome, que é responsável por modificar os resultados das pesquisas.

Infecção vinda do Google Chrome também pode ocorrer no macOS

O processo descrito acima, porém, é referente somente a infecção do ChromeLoader no Windows. No macOS, sistema operacional da Apple, toda a situação é semelhante, mas em vez de utilizar arquivos ISO, eles usam .DMG (Apple Disk Image), o formato mais comum para instalação de programas nesse ambiente.

Além disso, no caso do macOS, a ameaça além do Google Chrome também pode manipular os resultados exibidos no Safari.

No fim, embora o ChromeLoader não pareça uma ameaça tão severa, é importante ter em mente que os resultados alterados pelo vírus podem levar a infecções mais graves. A recomendação da Red Canary, então, para evitar esses problemas, é que usuários sempre chequem as extensões ativas em seus navegadores, e desativem qualquer uma que considerarem suspeitas.

Fonte: Red Canary

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.