Extensões para Edge e Chrome sequestram navegadores e têm 1 mi de instalações

Assim como tudo o que baixamos para nossos computadores e celulares, é também preciso ficar atento com algo pequeno, mas que pode nos dar muita cabeça: as extensões para navegadores. Neste caso, os complementos oferecem ferramentas simples de customização, mas se escondem, e, quando ativados, podem até sequestrar os browsers. As pragas analisadas pelos pesquisadores da firma de segurança Guardio Labs têm mais de 1 milhão de instalações.

• Estes 16 apps para Android têm nova praga com mais de 20 milhões de instalações
• Vírus se esconde em 190 apps para Android e assina serviços na surdina

A descoberta foi feita pelos pesquisadores em meados de outubro, quando eles notaram um padrão de comportamento em 30 variantes de extensões nas lojas do Chrome e do Edge. A infecção acontece quando, na verdade, o usuário está buscando outras coisas na web, especialmente conteúdo de vídeos e legendas ou outros tipos de download.

Ao seguir para baixar, o usuário é redirecionado para outro site, que exige a instalação de uma extensão para liberar o conteúdo buscado. Como o complemento é sobre uma ferramenta de customização de cor, aparentemente inofensiva, muitas pessoas acabam concordando. Por conta disso, os pesquisadores batizaram a praga de Dormant Colors ou “Cores Dormentes”.

O vídeo abaixo exemplifica como isso ocorre:

Quando acontece a instalação, as extensões passam a redirecionar as vítimas para diversas páginas que carregam scritps maliciosos. Esses comandos instruem os complementos sobre como “sequestrar” as busca realizadas pelos usuários, e em quais sites inserir links de afiliados. Ou seja, após a infecção, as vítimas caem em páginas que não procuraram. Assim, elas geram receita e cedem seus dados para os criminosos.

As extensões infectadas com a praga “Cores Dormentes” também têm uma extensa lista de 10 mil sites autênticos para explorar: assim que você entra em uma loja online conhecida, por exemplo, o complemento malicioso faz um rápido redirecionamento automático, para incluir um link afiliado anexado à URL. Desta forma, os criminosos conseguem lucrar quando uma compra é efetuada.

Além disso, os pesquisadores afirmam que a praga pode redirecionar as vítimas para páginas de phishing, roubando credenciais do Microsoft 365, Google Workspace, sites de bancos ou plataformas de mídia social.

Como evitar as extensões infectadas em navegadores

As extensões listadas abaixo foram encontrados com a praga Cores Dormentes. Segundo os pesquisadores, elas já foram removidas ou retirados do ar, mas eles alertam que a operação é constantemente renovada com novos nomes e domínios adicionais.

Então, se tiver alguma dessas extensões acima ou programas suspeitos com finalidade semelhante, remova imediatamente da sua máquina e passe a varredura de um antivírus para detectar infecções.

Seguem algumas dicas para evitar infecção por extensões de navegadores:

• Não baixe conteúdo audiovisual protegido por direitos autorais em sites piratas. Muitas dessas páginas obrigam a instalação de extensões contaminadas;
• Não execute links arquivos suspeitos ou desconhecidos;
• Observe bem a reputação de quaisquer softwares complementares antes de instalá-lo em seu navegador;
• Sempre fique de olho em comportamentos estranhos ao navegar, como páginas que abrem sem que você visite, assim como lentidão ou erros inesperados;
• Use uma solução antivírus para sempre manter o computador em dia, já que esses tipos de infecções são facilmente detectadas por programas populares e até gratuitos.