O Google removeu 34 extensões de navegador maliciosas de sua Chrome Web Store que, juntas, tinham uma contagem de downloads de 87 milhões. Embora essas extensões apresentassem funcionalidade legítima, elas podiam modificar os resultados da pesquisa e enviar spam ou anúncios indesejados.
No mês passado, um pesquisador independente de segurança cibernética Wladimir Palant descobriu uma extensão de navegador chamada "PDF Toolbox" (2 milhões de downloads) para o Google Chrome que tinha um código ofuscado inteligentemente disfarçado para manter os usuários inconscientes de seus riscos potenciais.
Chrome Web Store remove 34 extensões maliciosas com 87 milhões de downloads
O pesquisador analisou a extensão PDF Toolbox e publicou um relatório detalhado em 16 de maio. Ele explicou que o código foi feito para parecer um wrapper de API de extensão legítimo. Mas, infelizmente, este código permitiu o "serasearchtop[.] com" para injetar código JavaScript arbitrário em cada página da Web visualizada por um usuário.
De acordo com o relatório, os abusos potenciais incluem sequestrar resultados de pesquisa para exibir links patrocinados e resultados pagos, até mesmo oferecer links maliciosos às vezes e roubar informações confidenciais. No entanto, o propósito do código permaneceu desconhecido, já que Palant não detectou nenhuma atividade maliciosa.
O pesquisador também descobriu que o código foi configurado para ser ativado 24 horas após a instalação da extensão, o que aponta para intenções maliciosas, mencionou o relatório.
Em um artigo de acompanhamento publicado em 31 de maio de 2023, Palant escreveu que havia encontrado o mesmo código malicioso em outras 18 extensões do Chrome com uma contagem total de downloads de 55 milhões na Chrome Web Store.
Continuando sua investigação, Palant encontrou duas variantes do código que eram muito semelhantes, mas com pequenas diferenças:
- A primeira variante se disfarça como a API Polyfill do navegador WebExtension da Mozilla. O endereço de download "config" é https://serasearchtop.com/cfg/<Extension_ID>/polyfill.json, e o carimbo de data/hora danificado que impede downloads nas primeiras 24 horas é localStorage.polyfill.
- A segunda variante se disfarça de biblioteca .js Day. Ele baixa dados de https://serasearchtop.com/cfg/<Extension_ID>/locale.json e armazena o carimbo de data/hora danificado em localStorage.locale.
Embora o pesquisador não tenha observado o código malicioso em ação, ele observou vários relatórios e avaliações de usuários na Web Store indicando que as extensões estavam sequestrando resultados de pesquisa e redirecionando-os aleatoriamente para outro lugar.
Embora Palant tenha relatado suas descobertas ao Google, as extensões permaneceram disponíveis na Chrome Web Store. Somente depois que a empresa de segurança cibernética Avast confirmou a natureza maliciosa das extensões do Chrome, elas foram tiradas do ar pela gigante das buscas.
Palant listou 34 extensões maliciosas em seu site, com uma contagem total de downloads de 87 milhões. Até o momento, todas essas extensões maliciosas foram removidas pelo Google da Chrome Web Store. No entanto, isso não os desativa ou desinstala automaticamente de seus navegadores da web. Assim, recomenda-se que os usuários os desinstalem de seus dispositivos manualmente.