Extensões Maliciosas do Chrome, Domínios Usados para Roubar Dados do Usuário

As extensões do Google Chrome e os domínios da Communigal Communication Ltd. (Galcomm) foram usados em uma campanha que visa rastrear a atividade e os dados do usuário, conforme revelado pela Awake Security. Nos últimos três meses, os pesquisadores descobriram 111 extensões maliciosas ou falsas do Chrome utilizando os domínios da Galcomm como sua infraestrutura de comando e controle (C&C). Houve pelo menos 32 milhões de downloads dessas extensões maliciosas no momento da redação deste artigo, no início de julho.

A campanha usou quase 15.160 domínios registrados na Galcomm para hospedar ferramentas de vigilância baseadas em navegador e malware, uma soma que representa quase 60% do número de domínios alcançáveis (26.079) lançados no mesmo registrador de domínio. Em uma troca de e-mail com a agência de notícias Reuters, o proprietário da Galcomm, Moshe Fogel, insistiu que “a Galcomm não está envolvida e não cumpre nenhuma atividade maliciosa”.

“Você pode dizer exatamente o contrário: cooperamos com os órgãos policiais e de segurança para evitar o máximo que pudermos”, escreveu Fogel.

Os ataques evitaram com sucesso a detecção por sandboxes, soluções de segurança para endpoints, mecanismos de reputação de domínio e similares. Entre as indústrias afetadas estão finanças, petróleo e gás, mídia, saúde, varejo, tecnologia, educação e governo.

Isso já foi visto em pesquisas passadas

Como ilustramos em nossa pesquisa publicada em abril passado sobre o adware modular DealPly, IsErik e ManageX, essas extensões do Chrome fazem parte do ecossistema desta campanha. Também encontramos extensões maliciosas direcionadas aos usuários do Firefox. Mencionamos que alguns deles podem carregar código de servidores remotos e também citamos os domínios da Galcomm como possivelmente vinculados ao ataque. Além disso, fornecemos uma análise de causa raiz (RCA) para isso.

A Awake Security também publicou uma extensa lista de IDs de apps usados na mesma campanha. Além de alguns IDs de apps que encontramos em nossa análise, abaixo estão outros dois que descobrimos anteriormente:

  • bgbeocleofdgkldamjapfgcglnmhmjgb
  • ncjbeingokdeimlmolagjaddccfdlkbd

As extensões maliciosas em questão podem capturar screenshots, ler a área de transferência, coletar toques de teclas do usuário e receber tokens de credenciais sem o consentimento do usuário. Comportamento semelhante foi observado e analisado em um relatório publicado em uma variante de malware (detectada pela Trend Micro como Trojan.JS.MANAGEX.A) que também está associada a esta campanha. Lá, descobrimos que o malware define permissão para permitir o acesso às APIs do Chrome que incluem o seguinte:

  • dados de navegação
  • cookies
  • captura de área de trabalho
  • geolocalização
  • histórico
  • gestão

(Para a lista completa, consulte o nosso relatório)

As variantes de malware detectadas anteriormente ADW_DEALPLY e Adware.JS.DEALPLY.SMMR também foram associadas a esse ataque.

Protegendo os sistemas contra ameaças provocadas por domínios e extensões maliciosos 

As extensões maliciosas continuam a evoluir para ameaças mais alarmantes; com o tempo, eles desenvolvem técnicas mais furtivas, como ignorar os mecanismos de segurança tradicionais e carregar código de servidores remotos. Além de focar na detecção, as organizações devem monitorar constantemente as táticas, técnicas e procedimentos empregados por essas ameaças em longo prazo a fim de entender melhor seu comportamento e obter insights sobre como defender pontos de entrada contra elas.

O Trend Micro XDR protege o sistema por meio da coleta e correlação de dados de atividades de e-mail, endpoint, servidor, workloads em nuvem e rede. Ele usa IA e análises de segurança especializadas, que não apenas permitem a detecção precoce, mas também oferecem uma visão mais profunda da origem e do comportamento desses ataques.

O serviço Trend Micro™ Managed XDR fornece monitoramento e análise especializados por nossos analistas experientes de Detecção & Resposta Gerenciada. Nossos especialistas podem criar uma imagem completa do ataque e como ele se espalhou por toda a empresa, fornecendo uma visão clara da causa e do impacto de uma ameaça.