Utilizadores foram hackeados por Ad Blockers maliciosos no Chrome

Mais de 20 milhões de utilizadores foram hackeados depois de instalaram Ad Blockers maliciosos do Google Chrome. Se instalou algumas das extensões mencionadas abaixo, certamente foi hacked!

Se instalou alguma das extensões de Ad Blockers mencionadas abaixo no seu navegador Google Chrome, então pode ter sido hackeado.

Um investigador de segurança identificou cinco extensões de Ad Blockers maliciosas na Google Chrome Store, que já haviam sido instaladas por pelo menos 20 milhões de utilizadores.

Este é um tema que não é novidade. Estas extensões têm acesso a tudo o que o utilizador digita e acede através do navegador de Internet, e podem permitir aos seus criadores roubarem qualquer tipo de informação a que as vítimas acedem no dia a dia, em qualquer website, incluindo palavras-passe, históricos de navegação, e até detalhes do cartão de crédito.

A investigação foi levada a cabo por Andrey Meshkov, co-fundador da Adguard, e estas cinco extensões maliciosas são versões copycat de alguns Ad Blockers legítimos e muito populares.

Os fulanos mal intencionados e criadores destas extensões também usaram palavras-chave populares nos nomes e descrições para gerar uma melhor classificação para a extensão e fazer com que ela apareça no top de resultados da pesquisa, aumentando a possibilidade de fazer com que mais utilizadores façam o download e a instalem nos seus computadores.

“All the extensions I’ve highlighted are simple rip-offs with a few lines of code and some analytics code added by the authors,” Meshkov says.

Depois de Meshkov reportar a sua investição ao Google na terça-feira, a gigante tecnológica imediatamente removeu todas as seguintes extensões mencionadas da sua Store.

AdRemover for Google Chrome™ (10 million+ users)
uBlock Plus (8 million+ users)
[Fake] Adblock Pro (2 million+ users)
HD for YouTube™ (400,000+ users)
Webutation (30,000+ users)

Meshkov disse ainda que, depois de analisar a extensão AdRemover, ele descobriu que o código malicioso estava alojado numa versão da biblioteca jQuery — uma biblioteca muito popular e conhecida. Esse código encarregava-se de enviar informação sobre os websites visitados pela vítima para um servidor remoto.

O conselho para estes casos passa pelo seguinte:

Instale o mínimo de extensões.
Antes de instalar, olhe para a sua classificação e comentários por parte da comunidade.
Tenha um anti-virus com o web-shield ativo.
E, a respeito de tudo, mantenha-se atento e em alerta!

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.