Extensão na Chrome Web Store ativa há um ano rouba dados de cartão de crédito

ElevenPaths    22 enero, 2019
Detectamos uma extensão para o navegador Google Chrome, ainda ativa, que rouba dados de formulários nas páginas visitadas pelas vítimas. O complemento do navegador, que ainda se encontra disponível na loja de extensões do Chrome, está ativo desde fevereiro do ano passado. Ele, no entanto, não aparece nas buscas da web store e só pode ser acessado através de um link que os atacantes estão distribuindo por meio de injeções de JavaScript em páginas que direcionam o usuário para a extensão.

Chrome web store Javascript Segurança imagem

A extensão simula um “leitor Flash” criado pelo suposto desenvolvedor fbsgang.info. Uma vez instalada, injeta uma pequena função em todas as páginas visitadas pelo usuário ao explorar uma funcionalidade da API webRequest.onBeforeRequest que permite criar um “hook” que será chamado imediatamente antes de uma nova solicitação HTTP dentro da página (por exemplo, ao clicar no botão “Enviar” de um formulário). 

segurança de extensão background imagem

Essa função monitora a inserção de expressões numéricas características de cartões de crédito (ao examinar o código vemos expressões padrão para Visa (vvregex), MasterCard (mcregex), etc.), ao detectar a inserção de um número de cartão válido a extensão codifica os dados em JSON e os envia ao atacante através de uma solicitação AJAX. De maneira prática, ela emprega a função “sendFormData” que contém a URL destino codificada em base64:

codificação em base64 a URL de cibersegurança imagem
aHR0cDovL2Zic2dhbmcuaW5mby9jYy9nYXRlLnBocA==

que, uma vez decodificada, leva à:

hxxp://fbsgang.info/cc/gate.php

Assim, se trata de uma extensão simples que aproveita o grande poder de alcance de uma única chamada API. No momento em que a detectamos, a extensão contava com pouco mais de 400 instalações e não se difundiu massivamente, ao menos até agora. O complemento está na loja desde fevereiro de 2018 mas como as atacantes não a configuraram como “pública”, não é possível encontrá-la através de busca.

opciones de visibilidad ciberseguridad imagen

¿Como ela é distribuída então?
Ao invés de captar vítimas através da busca ou então de um envio massivo de e-mails, algo que faria com que o ataque fosse muito mais efetivo, mas também muito mais detectável, os atacantes preferiram outra técnica. Eles infectam páginas web (hospedagens completas com todas as suas subpáginas, como observamos) com um JavaScript que detecta se o navegador é o Google Chrome. Caso positivo, simplesmente redirecionam a vítima para uma página falsa de instalação do Flash, que faz o download da extensão maliciosa. 

 60/5000 fragmento de JavaScript injetado nas redes de cibersegurança imagem

Aqui encontramos um erro dos atacantes, que não finalizaram corretamente a página que indica a necessidade de instalação do Flash (ou a desativaram por alguma razão), a página exibe hoje o índice de arquivos do servidor. 

índice de arquivos do servidor de segurança imagem
Isso não afeta a extensão, só sua técnica de difusão. Se acessamos uma página em cache, podemos ver que sua versão anterior tinha aspecto muito mais real. 

índice de arquivos do servidor aparência anterior cybersecurity imagem

Se observarmos seu código fonte: 

índice do código fonte do cybersecurity dos arquivos do servidor imagem

E o código JavaScript, após sua decodificação, demonstrado abaixo:

Aspecto do código JavaScript, após sua decodificação da segurança imagem

Resumindo, apresenta uma solicitação de instalação ao Adobe Flash e redireciona o usuário à loja de extensões do Chrome, diretamente à página da extensão falsa “leitor Flash” que comentamos ao início, completando o ciclo de ataque. Nós alertamos ao Google sobre a extensão para que seja retirada do site o mais rápido possível. 


Recomendamos que você busque o JavaScript com a estrutura demonstrada acima para garantir que nenhuma página em seu servidor está infectada. Ainda que o ataque pareça contido, a extensão ainda é uma grande ameaça, seu hash é: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf. 

Utilizamos a ferramenta NETO, desenvolvida pela ElevenPaths para analisar extensões em geral nesse estudo. Aqui você pode acessar o relatório completo da ferramenta.


Ferramenta NETO analisa extensões de segurança cibernética imagem



Inovação e Laboratório em ElevenPaths

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *