Extensão na Chrome Web Store ativa há um ano rouba dados de cartão de crédito

Detectamos uma extensão para o navegador Google Chrome, ainda ativa, que rouba dados de formulários nas páginas visitadas pelas vítimas. O complemento do navegador, que ainda se encontra disponível na loja de extensões do Chrome, está ativo desde fevereiro do ano passado. Ele, no entanto, não aparece nas buscas da web store e só pode ser acessado através de um link que os atacantes estão distribuindo por meio de injeções de JavaScript em páginas que direcionam o usuário para a extensão.

A extensão simula um “leitor Flash” criado pelo suposto desenvolvedor fbsgang.info. Uma vez instalada, injeta uma pequena função em todas as páginas visitadas pelo usuário ao explorar uma funcionalidade da API webRequest.onBeforeRequest que permite criar um “hook” que será chamado imediatamente antes de uma nova solicitação HTTP dentro da página (por exemplo, ao clicar no botão “Enviar” de um formulário). 

Essa função monitora a inserção de expressões numéricas características de cartões de crédito (ao examinar o código vemos expressões padrão para Visa (vvregex), MasterCard (mcregex), etc.), ao detectar a inserção de um número de cartão válido a extensão codifica os dados em JSON e os envia ao atacante através de uma solicitação AJAX. De maneira prática, ela emprega a função “sendFormData” que contém a URL destino codificada em base64:

que, uma vez decodificada, leva à:

Assim, se trata de uma extensão simples que aproveita o grande poder de alcance de uma única chamada API. No momento em que a detectamos, a extensão contava com pouco mais de 400 instalações e não se difundiu massivamente, ao menos até agora. O complemento está na loja desde fevereiro de 2018 mas como as atacantes não a configuraram como “pública”, não é possível encontrá-la através de busca.

¿Como ela é distribuída então?
Ao invés de captar vítimas através da busca ou então de um envio massivo de e-mails, algo que faria com que o ataque fosse muito mais efetivo, mas também muito mais detectável, os atacantes preferiram outra técnica. Eles infectam páginas web (hospedagens completas com todas as suas subpáginas, como observamos) com um JavaScript que detecta se o navegador é o Google Chrome. Caso positivo, simplesmente redirecionam a vítima para uma página falsa de instalação do Flash, que faz o download da extensão maliciosa. 

Aqui encontramos um erro dos atacantes, que não finalizaram corretamente a página que indica a necessidade de instalação do Flash (ou a desativaram por alguma razão), a página exibe hoje o índice de arquivos do servidor. 

Isso não afeta a extensão, só sua técnica de difusão. Se acessamos uma página em cache, podemos ver que sua versão anterior tinha aspecto muito mais real. 

Se observarmos seu código fonte: 

E o código JavaScript, após sua decodificação, demonstrado abaixo:

Resumindo, apresenta uma solicitação de instalação ao Adobe Flash e redireciona o usuário à loja de extensões do Chrome, diretamente à página da extensão falsa “leitor Flash” que comentamos ao início, completando o ciclo de ataque. Nós alertamos ao Google sobre a extensão para que seja retirada do site o mais rápido possível. 


Recomendamos que você busque o JavaScript com a estrutura demonstrada acima para garantir que nenhuma página em seu servidor está infectada. Ainda que o ataque pareça contido, a extensão ainda é uma grande ameaça, seu hash é: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf. 

Utilizamos a ferramenta NETO, desenvolvida pela ElevenPaths para analisar extensões em geral nesse estudo. Aqui você pode acessar o relatório completo da ferramenta.