A extensão oficial do Chrome para o serviço de partilha de ficheiros na Cloud MEGA.nz foi comprometida com código malicioso que rouba nomes de utilizadores e passwords, mas também chaves privadas para contas de criptomoedas.
O comportamento malicioso foi encontrado no código-fonte da extensão MEGA.nz versão 3.39.4 do Chrome, lançado como atualização no dia 4 de setembro.
Os engenheiros do Google já removeram a extensão da store do Chrome e também desativaram a extensão para utilizadores que estavam a usá-la.
De acordo com uma análise efetuada ao código fonte da extensão, o código malicioso foi executado em websites como Amazon, Google, Microsoft, GitHub, os serviços de carteira da Web MyEtherWallet e MyMonero, e a plataforma de negociação de criptomoedas IDEX.
How to fix
- Os utilizador do Google Chrome que usaram a extensão devem observar se na seção “Extensões” do navegador Google Chrome a extensão foi desativada.
- Todos os utilizadores devem tambem redefinir passwords nos serviços afetados e mover fundos de criptomoeda para novas contas protegidas por novas chaves particulares.
Os porta-vozes do Google e do MEGA.nz não responderam aos pedidos de comentários antes da publicação deste artigo.
No entanto, depois da publicação do artigo original no ZDNET, o MEGA.nz também demonstrou a sua insatisfação com as medidas de segurança da Chrome Web Store do Google.
“Unfortunately, Google decided to disallow publisher signatures on Chrome extensions and is now relying solely on signing them automatically after upload to the Chrome webstore, which removes an important barrier to external compromise. MEGAsync and our Firefox extension are signed and hosted by us and could therefore not have fallen victim to this attack vector. While our mobile apps are hosted by Apple/Google/Microsoft, they are cryptographically signed by us and therefore immune as well.”
“We are currently investigating the exact nature of the compromise of our Chrome webstore account.”
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.