Cuidado com mais uma praga que se esconde em uma falsa extensão para o Chrome. Especialistas da firma de segurança Zimperium descobriram um novo botnet chamado “Cloud 9”, que, ao infectar as máquinas das vítimas, rouba contas online, registra as teclas pressionadas, injeta anúncios, e, além de encher o dispositivo de códigos maliciosos, ainda o usa em Ataques de Negação de Serviço (DDoS, na sigla em inglês).
O Cloud 9 é um cavalo de troia de acesso remoto (também classificado como RAT, ou remote acess trojan) que tem foco em navegadores baseados no Web Chromium, entre eles os mais populares, o Google Chrome e o Microsoft Edge. Ele é distribuído por meio de uma extensão maliciosa compatível com os browsers, em um complemento que não está disponível em lojas oficiais.
A circulação do Cloud 9 por meio de extensões duvidosas se dá, principalmente, por canais alternativos, principalmente em sites que enviam atualizações falsas do Adobe Flash Player. E, segundo os pesquisadores da Zimperium, essa tática de distribuição vem funcionando bastante em todo o mundo.
Como funciona a praga que infesta extensões para o Chrome?
O Cloud9 vem na forma de uma extensão de navegador duvidosa que faz backdoors nos navegadores Chromium, com o objetivo de executar uma extensa lista atividades maliciosas. O complemento consiste em três arquivos JavaScript para coletar informações do sistema, minerar criptomoedas usando os recursos do host, realizar ataques DDoS e injetar scripts que abrem vulnerabilidades no Windows da máquina da vítima.
Vale destacar que os pesquisadores da Zimperium também notaram atividades dessa mesma praga em versões do Mozilla Firefox e do Microsoft Internet Explorer, além dos já citados Google Chrome e Microsoft Edge.
A praga é tão perigosa que, além das ações descritas acima, consegue roubar cookies do navegador comprometido e até mesmo sequestrar sessões válidas de usuários. Ou seja, as vítimas também correm o grande risco de perde contas online, como as de redes sociais; e até mesmo terem informações financeiras expostas. Como o malware possui capacidades de um keylogger, de bisbilhotar teclas pressionadas, pode coletar senhas e outros conteúdos confidenciais.
Para piorar, o Cloud9 possui um módulo “clipper”, que monitorando constantemente a área de transferência do sistema, em busca de senhas ou cartões de crédito copiados. Outra principal característica é a injeção silenciosa de anúncios, a partir de páginas da web que geram receita aos cibercriminosos a partir de impressões.
Como evitar a nova praga que vem na forma de extensão para o Chrome?
Como dá para notar na descrição sobre o Cloud9, as duas melhores formas de evitar a praga é fugir de sites que possam conter o vírus, especialmente nas páginas que oferecerem download ilegal; e nunca baixar e executar atualizações fora de lojas oficiais — principalmente conteúdo atrelado ao Adobe Flash Player, descontinuado em 2021 pela própria desenvolvedora, justamente por conta de seus problemas de segurança.
O próprio Google entrou em contato com o Bleeping Computer para fazer algumas recomendações sobre o problema: “Sempre recomendamos que os usuários atualizem para a versão mais recente do Google Chrome para garantir que tenham as proteções de segurança mais atualizadas”, afirmou.
“Os usuários também podem ficar mais protegidos contra executáveis e sites maliciosos ativando a proteção aprimorada nas configurações de privacidade e segurança do Chrome. A Proteção Avançada avisa automaticamente sobre sites e downloads potencialmente arriscados e inspeciona a segurança de seus downloads e avisa quando um arquivo pode ser perigoso.”
