Oauth2

Pesquisadores de cibersegurança descobriram uma nova campanha envolvendo 108 extensões do Google Chrome que se comunicam com a mesma infraestrutura de comando e controle (C2) para coletar dados de usuários e permitir abusos no navegador. Essas extensões, publicadas sob cinco identidades distintas, acumulam cerca de 20.000 instalações na Chrome Web Store. A análise revelou que 54 extensões roubam identidades de contas do Google via OAuth2, enquanto 45 possuem uma porta dos fundos universal que abre URLs arbitrárias ao iniciar o navegador. Além disso, algumas extensões exfiltram sessões do Telegram a cada 15 segundos e injetam anúncios e scripts maliciosos em páginas visitadas. As extensões se disfarçam como ferramentas legítimas, como clientes do Telegram e jogos, mas na verdade capturam informações de sessão e injetam códigos maliciosos. Os usuários são aconselhados a remover essas extensões imediatamente e a desconectar suas sessões do Telegram. A análise de código revelou comentários em russo, sugerindo uma possível origem russa para os operadores.