As extensões para o browser podem esconder malware e uma recém-publicada investigação revela que há uma nova extensão que, além de roubar informação aos utilizadores à medida que navegam pela Internet, permite aos cibercriminosos tomar controlo remotamente dos equipamentos das vítimas. 

Como explicam os investigadores do zLabs, da Zimperium, ao contrário de outras extensões maliciosas, que conseguem infiltrar-se em lojas digitais oficiais, a Cloud9 é distribuída de forma diferente, com os cibercriminosos a optarem por disseminá-la através de uma variedade de métodos que incluem, por exemplo, websites maliciosos “disfarçados” de atualizações do Adobe Flash Player e ficheiros executáveis falsos.

A Cloud9 funciona como um Remote Access Trojan (RAT) e os investigadores detectaram duas variantes: uma original e outra versão “melhorada” do software malicioso, descrita como mais perigosa.

Extensões para browser escondem ameaças e 1,3 milhões de utilizadores já foram afetados este ano
Extensões para browser escondem ameaças e 1,3 milhões de utilizadores já foram afetados este ano
Ver artigo

Em específico, a segunda versão do malware permite aos cibercriminosos roubar cookies; registar tudo o que as vítimas escrevem, incluindo passwords e outros dados sensíveis; apresentar anúncios e abrir páginas em segundo plano para injectar código malicioso; assim como utilizar o equipamento infetado para lançar ataques DDoS ou minerar criptomoedas. 

Acredita-se que a Cloud9 foi criada pelo grupo Keksec, uma vez que os servidores C&C (Comand and Control) usados pela extensão apontam para domínios anteriormente utilizados pelos piratas informáticos. Segundo a equipa do zLabs, os cibercriminosos estarão também a distribuir a sua criação em fóruns de hacking para que outros grupos a possam utilizar.

O número de vítimas deste software malicioso é desconhecido, apesar de os cibercriminosos que o criaram estarem a tomar medidas para afetar utilizadores de todos os tipos de browsers e sistemas operativos.