Pesquisadores de cibersegurança do IBM revelaram um aumento significativo nas campanhas ligadas a extensões maliciosas do Chrome, com foco específico em instituições financeiras na América Latina (LATAM). Essas campanhas, lideradas pelo grupo criminoso cibernético conhecido como CyberCartel, têm como alvo principal os navegadores Chromium, como o Google Chrome. As extensões maliciosas do Chrome representam uma ameaça substancial, pois podem realizar diversas operações prejudiciais nos dispositivos das vítimas. Entre suas capacidades estão a coleta de informações técnicas do navegador, captura de screenshots das abas ativas, acesso à área de transferência do navegador, injeção de scripts maliciosos em páginas web, roubo de credenciais de login e cookies, rastreamento do histórico de navegação e redirecionamento dos usuários para sites de phishing.
Para garantir sua persistência, o malware utiliza um sistema de comando e controle (C2) flexível e uma configuração adaptativa, frequentemente comunicada via um canal do Telegram. O objetivo final dessas atividades é instalar um plugin de navegador malicioso no navegador da vítima e utilizar a técnica Man in the Browser, permitindo que os atacantes coletem ilegalmente informações bancárias sensíveis. O grupo CyberCartel, ativo na América Latina desde 2012, recentemente emergiu com novas ameaças. Em vez de desenvolver seu próprio malware, o CyberCartel utiliza Malware-as-a-Service de famílias de malware estabelecidas.
Sua variante mais recente visa navegadores baseados em Chromium, focando em entidades de alto valor, como escritórios governamentais e instituições financeiras. Eles empregam técnicas sofisticadas para evitar a detecção, manter acesso a longo prazo e injetar sites de phishing em sessões legítimas. Os pesquisadores também descobriram um construtor de extensões maliciosas do Chrome sendo vendido em fóruns clandestinos. Este construtor fornece aos fraudadores templates prontos para extensões Chromium e arquivos backend, facilitando o desenvolvimento de extensões prejudiciais que podem comprometer os dados e a segurança dos usuários.