Firefox se junta ao Chrome e ao Edge no problema das extensões dormentes que espionam usuários  malwarebytes.com

O blog da Malwarebytes faz o alerta de uma nova onda de extensões de navegadores comprometidas. A técnica usada, chamada esteganografia, é engenhosa:

O uso de código malicioso em imagens é uma técnica chamada esteganografia. Extensões antigas da [campanha] GhostPoster ocultavam o código do carregador JavaScript dentro de ícones *.png, como logo.png em extensões do Firefox como a Free VPN Forever, usando um marcador (por exemplo, três sinais de igual) nos bytes brutos para separar os dados da imagem do carregamento [código malicioso].

Variantes mais recentes mudaram para incorporar o carregamento em imagens arbitrárias dentro do pacote da extensão, depois decodificando e descriptografando-as na hora de execução. Isso dificulta bastante a detecção do código malicioso pelos pesquisadores.

Um grupo de pesquisadores encontrou 17 novas extensões contaminadas no Firefox. Elas têm nomes atraentes, como “Ads Block Ultimate” e “Youtube Download”.

É compreensível o foco de atores mal intencionados nas extensões de navegador. Elas têm acesso privilegiado ao aplicativo mais íntimo que usamos no dia a dia, atualizam automaticamente e, salvo poucas exceções, não têm marcas fortes — creio que se pesquise por extensões mais pela finalidade do que por nomes. Outro problema é o mercado de compra e venda de extensões populares, que mudam de dono sem qualquer transparência.

Uma boa maneira de mitigar danos é limitar-se às extensões endossadas pelas lojas dos navegadores. No Fiefox, elas têm um selo “Recomendado”. Na do Chrome, extensões revisadas pelo Google ganham um selo verde “Em destaque”, segundo a ajuda da loja. Nos resultados da busca, é possível filtrá-los para exibir apenas extensões em destaque.