Cerca de três milhões de usuários podem ter sido afetados por pelo menos 28 extensões de terceiros do Google Chrome e do Microsoft Edge contaminadas por malwares. O alerta vem da equipe de Inteligência de Ameaças da Avast, que identificou os códigos maliciosos em extensões associadas ao Facebook, Vimeo, Instagram e outras redes populares.

O malware redireciona o tráfego do usuário para anúncios ou sites de phishing, com o objetivo de roubar informações sigilosas – como datas de nascimento, endereços de e-mails e dispositivos ativos. Os pesquisadores identificaram um código malicioso nas extensões baseadas em Javascript, permitindo o download de outros malwares para o PC do usuário.

As extensões incluem “Video Downloader” para Facebook, “Vimeo Video Downloader”, “Instagram Story Downloader”, “VK Unblock” e outras desenvolvidas para os navegadores Google Chrome e do Microsoft Edge. Ao redirecionar o usuário para outros sites, os cibercriminosos monetizam o próprio tráfego.

“Nossas hipóteses são que as extensões foram criadas deliberadamente com o malware embutido, ou o autor esperou que as extensões se tornassem populares para, em seguida, enviar uma atualização contendo o malware”, explica Jan Rubín, Pesquisador de Malware da Avast. Há ainda a possibilidade de que o autor vendeu as extensões originais para outra pessoa depois de criá-las, “então o comprador introduziu o malware mais tarde”, completa Rubín.

 A ameaça vem sendo monitorada desde novembro, mas os especialistas acreditam que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de link desde dezembro de 2018. “Os backdoors das extensões estão bem escondidos e as extensões somente começam a exibir um comportamento malicioso dias após a instalação, o que torna difícil que qualquer software de segurança possa descobrir”, afirma o pesquisador.

A Avast recomenda que os usuários desabilitem ou desinstalem as extensões por enquanto, até que o problema seja resolvido e, em seguida, escaneiem e removam o malware.

Abaixo, a lista de extensões detectadas afetadas: