🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma nova campanha na qual foi descoberto que um conjunto de 108 extensões do Google Chrome se comunicam com a mesma infraestrutura de comando e controle (C2) com o objetivo de coletar dados do usuário e permitir abusos no nível do navegador, injetando anúncios e código JavaScript arbitrário em cada página da web visitada.
De acordo com a Socket, as extensões são publicadas sob cinco identidades de editoras distintas – Yana Project, GameGen, SideGames, Rodeo Games e InterAlt – e acumularam coletivamente cerca de 20.000 instalações na Chrome Web Store.
"Todos os 108 direcionam credenciais roubadas, identidades de usuários e dados de navegação para servidores controlados pela mesma operadora", disse o pesquisador de segurança Kush Pandya em uma análise.
Destes, 54 complementos roubam a identidade da conta do Google por meio do OAuth2, 45 extensões contêm um backdoor universal que abre URLs arbitrários assim que o navegador é iniciado, e os demais se envolvem em vários comportamentos maliciosos -
Exfiltrar sessões da Web do Telegram a cada 15 segundos
Remova os cabeçalhos de segurança do YouTube e TikTok (ou seja, Política de segurança de conteúdo, X-Frame-Options e CORS) e injete sobreposições e anúncios de jogos de azar
Injete scripts de conteúdo em cada página que o usuário visita
Faça proxy de todas as solicitações de tradução por meio do servidor do agente da ameaça
Em uma tentativa de dar uma aparência de legitimidade, as extensões identificadas se disfarçam como clientes da barra lateral do Telegram, jogos de caça-níqueis e Keno, intensificadores do YouTube e TikTok, ferramentas de tradução de texto e utilitários de página. A funcionalidade anunciada é diversificada, com o objetivo de lançar uma rede ampla, ao mesmo tempo que compartilha o mesmo backend.
No entanto, sem o conhecimento dos usuários, o código malicioso executado em segundo plano captura informações da sessão, injeta scripts arbitrários e abre URLs escolhidos pelo invasor.
Algumas das extensões identificadas estão listadas abaixo:
Conta múltipla do Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrai o token user_auth usado pelo Telegram Web e exfiltra os dados para um servidor remoto. Ele também pode substituir o localStorage por dados de sessão fornecidos pelo agente da ameaça e forçar o carregamento do aplicativo de mensagens, substituindo efetivamente a sessão ativa do Telegram da vítima pela sessão escolhida pelo agente da ameaça.
Cliente Web para Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que remove os cabeçalhos de segurança do Telegram e injeta scripts para roubar sessões do Telegram.
Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que rouba a identidade da conta do Google do usuário na primeira vez que a vítima clica no botão de login. Isso inclui detalhes como e-mail, nome completo, URL da foto do perfil e identificador da Conta do Google.
“Cinco extensões usam a API declarativeNetRequest do Chrome para remover cabeçalhos de segurança de sites de destino antes que a página seja carregada”, disse Socket. "Todas as 108 extensões maliciosas compartilham o mesmo back-end, hospedado em 144.126.135[.]238."
Atualmente não se sabe quem está por trás das extensões que violam as políticas. No entanto, uma análise do código-fonte revelou comentários em russo em vários complementos.
Os usuários que instalaram qualquer uma das extensões são aconselhados a removê-las imediatamente e sair de todas as sessões do Telegram Web no aplicativo móvel Telegram.
De acordo com a Socket, as extensões são publicadas sob cinco identidades de editoras distintas – Yana Project, GameGen, SideGames, Rodeo Games e InterAlt – e acumularam coletivamente cerca de 20.000 instalações na Chrome Web Store.
"Todos os 108 direcionam credenciais roubadas, identidades de usuários e dados de navegação para servidores controlados pela mesma operadora", disse o pesquisador de segurança Kush Pandya em uma análise.
Destes, 54 complementos roubam a identidade da conta do Google por meio do OAuth2, 45 extensões contêm um backdoor universal que abre URLs arbitrários assim que o navegador é iniciado, e os demais se envolvem em vários comportamentos maliciosos -
Exfiltrar sessões da Web do Telegram a cada 15 segundos
Remova os cabeçalhos de segurança do YouTube e TikTok (ou seja, Política de segurança de conteúdo, X-Frame-Options e CORS) e injete sobreposições e anúncios de jogos de azar
Injete scripts de conteúdo em cada página que o usuário visita
Faça proxy de todas as solicitações de tradução por meio do servidor do agente da ameaça
Em uma tentativa de dar uma aparência de legitimidade, as extensões identificadas se disfarçam como clientes da barra lateral do Telegram, jogos de caça-níqueis e Keno, intensificadores do YouTube e TikTok, ferramentas de tradução de texto e utilitários de página. A funcionalidade anunciada é diversificada, com o objetivo de lançar uma rede ampla, ao mesmo tempo que compartilha o mesmo backend.
No entanto, sem o conhecimento dos usuários, o código malicioso executado em segundo plano captura informações da sessão, injeta scripts arbitrários e abre URLs escolhidos pelo invasor.
Algumas das extensões identificadas estão listadas abaixo:
Conta múltipla do Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrai o token user_auth usado pelo Telegram Web e exfiltra os dados para um servidor remoto. Ele também pode substituir o localStorage por dados de sessão fornecidos pelo agente da ameaça e forçar o carregamento do aplicativo de mensagens, substituindo efetivamente a sessão ativa do Telegram da vítima pela sessão escolhida pelo agente da ameaça.
Cliente Web para Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que remove os cabeçalhos de segurança do Telegram e injeta scripts para roubar sessões do Telegram.
Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que rouba a identidade da conta do Google do usuário na primeira vez que a vítima clica no botão de login. Isso inclui detalhes como e-mail, nome completo, URL da foto do perfil e identificador da Conta do Google.
“Cinco extensões usam a API declarativeNetRequest do Chrome para remover cabeçalhos de segurança de sites de destino antes que a página seja carregada”, disse Socket. "Todas as 108 extensões maliciosas compartilham o mesmo back-end, hospedado em 144.126.135[.]238."
Atualmente não se sabe quem está por trás das extensões que violam as políticas. No entanto, uma análise do código-fonte revelou comentários em russo em vários complementos.
Os usuários que instalaram qualquer uma das extensões são aconselhados a removê-las imediatamente e sair de todas as sessões do Telegram Web no aplicativo móvel Telegram.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #108 #extensões #maliciosas #do #chrome #roubam #dados #do #google #e #do #telegram, #afetando #20.000 #usuários
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário