Pesquisadores da empresa de segurança de aplicações Socket identificaram mais de 100 extensões maliciosas na Chrome Web Store oficial que tentam roubar tokens OAuth2 Bearer do Google, implantar backdoors e executar fraude publicitária. A investigação revelou uma campanha coordenada que utiliza a mesma infraestrutura de comando e controle (C2).
Infraestrutura e operação
O ator de ameaças publicou as extensões sob cinco identidades distintas em múltiplas categorias: clientes Telegram sidebar, jogos de caça-níqueis e Keno, aprimoradores para YouTube e TikTok, ferramenta de tradução de texto e utilitários diversos. A campanha utiliza um backend central hospedado em um VPS Contabo, com múltiplos subdomínios gerenciando sequestro de sessão, coleta de identidade, execução de comandos e operações de monetização.
Os pesquisadores encontraram evidências indicando uma operação russa de malware-as-a-service (MaaS), baseada em comentários no código relacionados a autenticação e roubo de sessão. O modelo MaaS permite que criminosos sem habilidades técnicas avançadas aluguem infraestrutura maliciosa pronta para uso.
Técnicas de ataque por cluster
O maior cluster, composto por 78 extensões, injeta HTML controlado pelo atacante na interface do usuário através da propriedade ‘innerHTML’. Esta técnica permite modificar dinamicamente o conteúdo exibido ao usuário sem seu conhecimento.
O segundo maior grupo, com 54 extensões, utiliza ‘chrome.identity.getAuthToken’ para coletar email, nome, foto de perfil e ID da conta Google da vítima. Essas extensões também roubam o token OAuth2 Bearer do Google — um token de acesso de curta duração que permite que aplicações acessem dados do usuário ou ajam em seu nome.
Um terceiro conjunto de 45 extensões apresenta uma função oculta que executa na inicialização do navegador, funcionando como backdoor. Esta função busca comandos do C2 e pode abrir URLs arbitrárias, sem requerer interação do usuário com a extensão.
Roubo de sessões do Telegram
A extensão destacada pelos pesquisadores como “a mais severa” rouba sessões do Telegram Web a cada 15 segundos. O malware extrai dados de sessão do ‘localStorage’ e o token de sessão do Telegram Web, enviando as informações para o servidor C2.
A extensão também processa uma mensagem inbound (set_session_changed) que executa a operação reversa: limpa o localStorage da vítima, sobrescreve com dados de sessão fornecidos pelo atacante e força o recarregamento do Telegram. Isso permite ao operador trocar o navegador de qualquer vítima para uma conta Telegram diferente sem seu conhecimento.
Outras capacidades maliciosas
Os pesquisadores identificaram três extensões que removem cabeçalhos de segurança e injetam anúncios no YouTube e TikTok. Uma extensão faz proxy de requisições de tradução através de um servidor malicioso, enquanto outra extensão não-ativa para roubo de sessão do Telegram utiliza infraestrutura preparada para ativação futura.
A Socket notificou o Google sobre a campanha, mas alerta que todas as extensões maliciosas permanecem disponíveis na Chrome Web Store no momento da publicação do relatório. O Bleeping Computer confirmou que muitas das extensões listadas no relatório da Socket continuam disponíveis.
Recomendações de segurança
Usuários devem verificar suas extensões instaladas comparando com os IDs publicados pela Socket e desinstalar imediatamente qualquer correspondência encontrada. A presença continuada dessas extensões na loja oficial demonstra os desafios de detecção e resposta a campanhas coordenadas de malware que abusam de plataformas legítimas de distribuição.