MADRID 14 abr. (Portaltic/EP) -
A plataforma de segurança Socket identificou um total de 108 extensões maliciosas no navegador Chrome que roubam dados do Google e do Telegram das vítimas e permitem ataques do tipo “prompt injection”.
A Socket indicou que as extensões estão publicadas sob cinco identidades de editor diferentes: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, e acumularam cerca de 20.000 instalações na loja do Chrome.
As 108 extensões identificadas estão disponíveis, por enquanto, como complementos para o Telegram, TikTok ou YouTube, bem como ferramentas de tradução de textos ou jogos de caça-níqueis. Especificamente, a Socket destacou em seu blog a gravidade de uma extensão do Telegram Web, que extrai o token usado pelo aplicativo para autenticar a sessão, o envia para um “script” em segundo plano e o reenvia para o servidor C2.
Precisamente, todas as extensões compartilham o mesmo servidor “backend”, hospedado em 144[.]126[.]135[.]238, conforme apontado pela plataforma. Ainda não se sabe quem está por trás dessas ameaças, mas uma análise do código-fonte encontrou comentários em russo em vários complementos.
Essas extensões maliciosas foram categorizadas em várias seções, de acordo com os aplicativos afetados, de modo que há 54 extensões que roubam dados de contas do Google por meio do OAuth2; uma extensão que extrai sessões do Telegram Web a cada 15 segundos; outra extensão que inclui infraestrutura para o roubo de sessões do Telegram; duas extensões que removem as barreiras de segurança do YouTube e inserem anúncios; uma extensão que desativa a segurança do TikTok para inserir anúncios; duas extensões que injetam 'scripts' de conteúdo em cada página visitada; uma extensão que redireciona todas as solicitações de tradução; e 45 extensões que abrem URLs arbitrárias ao iniciar o navegador.
Os usuários podem consultar a lista completa de extensões identificadas pela Socket para verificar se realmente possuem algum complemento malicioso. Caso seja esse o caso, a plataforma recomenda removê-los imediatamente, bem como encerrar a sessão do Telegram Web pelo celular.
Esta notícia foi traduzida por um tradutor automático