Falsos Arquivos de Extensão do YouTube: YXH-youtube_player.xpi e YXH-youtube_player.crx
Embora o Mozilla Firefox e o Google Chrome sejam amplamente considerados como navegadores muito mais seguros que o Internet Explorer comum, os criminosos ainda podem atacar os usuários de computador usando esses dois navegadores. Um dos tipos mais comuns de ataque tira proveito da grande quantidade de opções que os usuários de computador têm para personalizar esses dois navegadores, atacando por meio de complementos e plug-ins maliciosos. YXH-youtube_player.xpi e YXH-youtube_player.crx são duas extensões de navegador mal-intencionadas, projetadas especificamente para atacar usuários de computador com esses dois navegadores específicos; YXH-youtube_player.xpi ataca os usuários de computador com o Mozilla Firefox Browser e YXH-youtube_player.crx ataca computadores com o navegador Google Chrome (demonstrado nas Figuras 1 e 2 abaixo). De acordo com os pesquisadores de segurança do ESG, o YXH-youtube_player.xpi e o YXH-youtube_player.crx se espalharam por um ataque de engenharia social do Facebook. Uma campanha de malware perigosa projetada para infectar usuários inexperientes de computador depende de links maliciosos que levam a janelas pop-up solicitando à vítima o download das extensões YXH-youtube_player.xpi e YXH-youtube_player.crx. Essa campanha de malware pode se espalhar tanto por paredes e compartilhamentos do Facebook quanto por sites que usam a funcionalidade integrada do Facebook por meio de uma caixa de comentários compatível com o Facebook.
Figura 1. YXH YouTube Player Attack usando o navegador Google Chrome
Figura 2. YXH YouTube Player Attack com alerta pop-up 'install YouTube Player' usando o navegador Google Chrome
Como Funciona o Esquema YXH-youtube_player.xpi e YXH-youtube_player.c
Os complementos YXH-youtube_player.xpi e YXH-youtube_player.crx se espalham pela engenharia social. Basicamente, um usuário infectado exibirá um link com um URL encurtado, supostamente vinculado a um vídeo popular do YouTube. Quando um usuário clica nesse link falso, uma cópia altamente autêntica da página da Web do YouTube é exibida no navegador da vítima. Por conveniência, antes que a vítima tenha a chance de visitar a página falsa do YouTube, uma janela pop-up aparecerá (Figura 1 acima). Isso é conveniente, porque a página falsa do YouTube que aparece é apenas para um show que não resiste a um exame cuidadoso. A janela pop-up solicitará que a vítima baixe uma extensão falsa do YouTube para assistir a vídeos em Alta Definição (Figura 2 acima). Essa extensão é instalada como a maioria das extensões legítimas do navegador, e seu download e instalação começam automaticamente, antes que a vítima possa avaliar suas opções ou perceber que YXH-youtube_player.xpi e YXH-youtube_player.crx não estão legitimamente conectados ao YouTube de nenhuma maneira. É fácil ser enganado por esse golpe, considerando que o YouTube é um site confiável que, quando se trata de segurança online, tem um histórico realmente bom. No entanto, os criminosos são muito bons em copiar páginas da Web legítimas para roubar senhas ou perpetrar ataques como este. Uma vez instaladas, as extensões falsas YXH-youtube_player.xpi e YXH-youtube_player.crx iniciam o download de uma perigosa infecção por Trojan no sistema de computador da vítima. A infecção pelo Trojan responsável por essas ações foi atribuída ao JS/TrojanClicker.Agent.NDA , um Trojan conhecido por promover determinados sites e iniciar ataques de negação de serviço.
Esse ataque se tornou um método comum de infecção para vários PCs, o que prova ser um momento prudente em que todos os computadores devem tomar as ações necessárias para se protegerem com um útil programa anti-spyware.