“Estão tentando usar extensões populares do Google Chrome para reproduzir vídeos secretamente nos navegadores dos usuários e aumentar a contagem de visualizações”
Nossas soluções começaram a dar avisos repetidos de ameaças a muitos usuários do Google Chrome. O Trojan.Multi.Preqw.gen, que o Chrome tentou baixar de um site de terceiros, foi especificado como a fonte da ameaça. Explicamos do que se trata e como resolver o problema.
Extensões maliciosas
Nossos especialistas, em colaboração com colegas da Yandex, descobriram que tem gente se aproveitando de mais de vinte extensões de navegador para fazer o Chrome funcionar para eles nos computadores dos usuários. As extensões que foram feitas para executar atividades maliciosas incluem algumas bastante populares: Frigate Light, Frigate CDN e SaveFrom.
Essas extensões instaladas em navegadores de mais de 8 milhões de usuários acessaram um servidor remoto em segundo plano, tentando baixar um código malicioso, um processo que nossas soluções de segurança detectam como perigoso.
O que os invasores estavam tramando e como isso ameaçava os usuários?
Os invasores estavam interessados em gerar tráfego para vídeos. Em outras palavras, as extensões estavam secretamente reproduzindo certos vídeos nos navegadores dos usuários, aumentando a contagem de visualizações em sites de streaming.
O player de vídeo invisível só era ativado quando o usuário estava realmente navegando, de modo que a inevitável desaceleração do computador pudesse ser atribuída ao atraso normal do Chrome quando sob carga.
De acordo com nossos colegas da Yandex, os usuários de algumas das extensões podiam ocasionalmente ouvir o som dos vídeos que estavam sendo reproduzidos em segundo plano.
Além disso, os plug-ins maliciosos interceptavam o acesso a uma rede social, provavelmente para aumentar as contagens de likes posteriormente. Independentemente dos objetivos reais, uma conta de mídia social comprometida é algo que preferimos evitar.
O que pode ser feito?
Se sua solução de segurança começar a detectar ameaças no Google Chrome ou em qualquer outro navegador baseado em Chromium, a primeira coisa que você precisa fazer é desabilitar os plug-ins maliciosos, pois é a isso que o aplicativo de segurança reage. Se você não tiver certeza qual dos plug-ins é perigoso, tente desativá-los um por vez até encontrar o(s) correto(s).
O Yandex, por sua vez, desabilitou automaticamente várias extensões em seu Yandex.Browser (também baseado no Chromium) e continua a procurar outros plug-ins que representem ameaça.
Se você ainda não usa produtos Kaspersky, mas suspeita que há um aplicativo perigoso em seu computador, pode ser uma boa ideia instalar uma de nossas soluções para usuários domésticos. Na verdade, é algo que vale a pena fazer de qualquer forma.
Fonte: Kaspersky Blog