Espionagem em massa: extensões falsas de IA comprometem usuários
TL;DR
Pesquisadores de segurança cibernética descobrem uma campanha maliciosa envolvendo extensões do navegador Chrome que comprometem usuários.
Pesquisadores de segurança cibernética descobrem uma campanha maliciosa que envolve extensões do navegador Chrome, disfarçadas de assistentes de inteligência artificial. Aproximadamente 260 mil usuários foram afetados por 30 extensões que, apesar de parecerem distintas, compartilham o mesmo código interno e infraestrutura.
Essas extensões, que se instalaram sob a promessa de auxiliar na redação de textos e emails, apresentavam uma fachada de legitimidade e possuíam permissões elevadas, essenciais para seu funcionamento, mas também representam uma vulnerabilidade significativa.
Operação enganosa
As extensões eram chamadas de assistentes de IA, prometendo diversas funcionalidades. Mais de 260 mil instalações ocorreram, muitas delas direcionadas por um selo de "Destaque" da loja oficial de extensões do Google, o que aumenta a confiança dos usuários.
Os atacantes utilizaram uma técnica chamada de iframe remoto. Isso permite que a extensão abra uma janela embutida que carrega conteúdo de um servidor externo, nesse caso, controlado pelos criminosos. O servidor era denominado tapnetic.pro, cujo conteúdo podia ser alterado a qualquer momento.
Captura de dados e espionagem
O conteúdo em questão incluía textos de páginas que a vítima estava acessando, extraídos com a ajuda de uma biblioteca de Readability, da Mozilla. O roubo de informações se estendia até páginas internas de empresas e sistemas autenticados.
Além disso, a extensão podia ativar o microfone da vítima, utilizando a Web Speech API, para gravar conversas sem o consentimento do usuário, catalogando informações críticas.
Espionagem do Gmail
Um em cada duas extensões tinha um módulo especializado em espionar o Gmail. Esses scripts eram ativados assim que a página começava a carregar, permitindo que os atacantes lessem o conteúdo dos emails acessados pelas vítimas.
A extensão também conseguia monitorar e capturar conversas e composições em tempo real, enviando dados para os servidores dos atacantes.
Infraestrutura de controle remoto
A operação maliciosa era coordenada a partir do domínio tapnetic.pro, caracterizando uma infraestrutura de comando e controle (C2). O site usado pelos atacantes tinha aparência comum, mas não oferecia serviços reais, servindo apenas como fachada.
Os subdomínios permitiam que, caso um deles fosse bloqueado, outros continuassem funcionando, garantindo a continuidade da operação.
Manobras de evasão
Os criminosos mostraram habilidade em burlar as remoções de extensões. Extensões removidas rapidamente reapareciam com novos nomes, mas com o mesmo código, utilizando a técnica conhecida como extension spraying, que aumenta a resiliência da operação.
Implicações da campanha
A sofisticada combinação de fatores, como a confiança nas extensões de IA, a legitimidade aparente conferida pela Chrome Web Store, e a arquitetura técnica que oculta a verdadeira funcionalidade, resultam em um sistema difícil de detectar.
Esta situação levanta preocupações sobre a segurança e privacidade dos usuários na internet, destacando a necessidade de maior vigilância e educação digital. A evolução destas táticas fornece um alerta sobre os riscos associados ao uso de tecnologia aparentemente segura.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
