Infelizmente, é um cenário cada vez mais comum: hackers que utilizam extensões maliciosas para o browser para disseminar malware. Os utilizadores do Google Chrome e do Microsoft Edge são os alvos mais frequentes.
O objetivo é quase sempre o mesmo: roubar dados pessoais e obter acesso ao teu computador para futuros ataques.
Malware através de extensões
O site The Hacker News noticiou recentemente (via Tom’s Guide) que está em curso uma nova campanha de malware em larga escala. A operação estará ativa desde 2021 e estima-se que já tenha afetado mais de 300.000 utilizadores.
O que torna este malware particularmente perigoso é a sua persistência nos computadores infetados, o que o torna muito difícil de remover. Mesmo que elimines a extensão maliciosa, o malware consegue reativar-se sempre que reinicias o teu portátil ou PC.
Tal como noutras campanhas semelhantes, esta também utiliza uma técnica conhecida como malvertising — o uso de anúncios online para disseminar malware. Estes anúncios podem surgir em sites legítimos, o que lhes confere uma aparência credível e engana os utilizadores.
Os hackers criaram páginas clonadas de software e serviços populares como Roblox FPS Unlocker, Keepass, YouTube, Steam e VLC. Atraídos por estes anúncios, os utilizadores julgam estar a instalar o software ou a extensão genuína. Na realidade, estão a descarregar um cavalo de Troia (trojan), um pacote que esconde o malware no seu interior.
Como funciona a atual campanha de malware
Nesta campanha específica, é utilizado um script PowerShell. Os hackers registam uma tarefa agendada num PC vulnerável, que depois descarrega e executa a fase seguinte do ataque a partir de um servidor que controlam.
Nessa fase, o malware modifica o Registo do Windows (Windows Registry) do computador infetado. Isto permite forçar a instalação de extensões do Chrome ou Edge, que são depois usadas para fraude publicitária. Com isto, conseguem sequestrar os resultados de pesquisa na Pesquisa Google e no Bing Search.
O mais grave é que outros utilizadores, ao pesquisarem, são depois encaminhados para estes sites falsos, acreditando estar a aceder à página oficial.
As versões mais recentes deste malware vão ainda mais longe: chegam a bloquear a instalação de atualizações do browser, tornando as vítimas ainda mais vulneráveis a outros ataques.
Como remover o malware
Num artigo publicado no seu blog, a empresa de segurança ReasonLabs partilhou todas as suas descobertas e fornece instruções detalhadas para remover o malware do teu PC. No entanto, o processo exige alguns conhecimentos técnicos, por isso só deves avançar se te sentires à vontade com computadores.
Primeiro, tens de eliminar a tarefa agendada do teu PC. Para isso, vai ao menu Iniciar ou usa a tecla Windows e pesquisa por Agendador de Tarefas (ou Task Scheduler). Ao abrir, clica em Biblioteca do Agendador de Tarefas para veres todas as tarefas agendadas.
O nome do malware pode ser muito variado, mas podes identificá-lo ao abrir cada tarefa e clicar no separador Ações. Na tabela que aparece, verifica os Detalhes. Presta atenção a um caminho que aponte para c:\windows\system32 e que execute um script PowerShell (com a terminação ‘.ps1’).
A ReasonLabs refere que o nome da tarefa é, frequentemente, semelhante ao nome do script PowerShell. Assim que encontrares a tarefa maliciosa, clica com o botão direito do rato sobre ela e seleciona Eliminar.
O passo seguinte é remover as chaves de registo que forçam a instalação das extensões maliciosas no teu browser. O processo é semelhante, mas desta vez terás de usar o Editor de Registo (Registry Editor), ao qual podes aceder pesquisando no menu Iniciar.
Atenção: não alteres absolutamente nada no registo do teu computador, a menos que saibas exatamente o que estás a fazer. Se tiveres dúvidas, pede ajuda a um amigo ou leva o teu PC a um profissional.
Com o Editor de Registo aberto, navega até ao seguinte caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist. No painel da direita, verás uma lista de extensões. Clica com o botão direito sobre cada uma e seleciona Eliminar. Repete o processo para a seguinte chave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist. Se usas o Microsoft Edge, o caminho é: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist.
Mantém-te seguro
Existem várias formas de verificar se uma extensão para o browser é autêntica. Em primeiro lugar, verifica sempre quem é o criador. As extensões mais populares têm frequentemente um selo de verificação junto ao nome do programador, para que saibas que se trata da versão genuína. Também ajuda analisar as avaliações e, sobretudo, o número de utilizadores: nas extensões fiáveis, este número costuma ser elevado.
Na página de uma extensão, podes fazer scroll para baixo para ver mais informações do programador. Geralmente, encontras aí um endereço, e-mail e o site oficial. Se algo te parecer suspeito, o mais sensato é não instalar a extensão.
Acima de tudo, segue uma regra de ouro: na dúvida, não instales. É preferível ficares sem uma funcionalidade extra do que veres os teus dados pessoais roubados e os teus dispositivos inutilizados.
