O Google removeu 34 extensões de navegador maliciosas de sua Chrome Web Store que, coletivamente, tinham uma contagem de 87 milhões de downloads. Embora essas extensões apresentassem funcionalidade legítima, elas podiam modificar os resultados da pesquisa e enviar spam ou anúncios indesejados.
No mês passado, um pesquisador independente de segurança cibernética Wladimir Palant descobriu uma extensão de navegador chamada’PDF Toolbox’ (2 milhões de downloads) para Google Chrome que tinha um código ofuscado habilmente disfarçado para manter os usuários cientes de seus riscos potenciais.
Chrome Web Store remove 34 extensões maliciosas com 87 milhões de downloads
O pesquisador analisou a extensão PDF Toolbox e publicou um relatório detalhado em 16 de maio. Ele explicou que o código foi feito para parecer um invólucro de API de extensão legítimo. Mas, infelizmente, esse código permitiu que o site “serasearchtop[.]com” injetasse código JavaScript arbitrário em todas as páginas da web que um usuário visualizasse.
De acordo com o relatório, o potenciais abusos incluem seqüestro de resultados de pesquisa para exibir links patrocinados e resultados pagos, até mesmo oferecendo links maliciosos às vezes e roubo de informações confidenciais. No entanto, a finalidade do código permaneceu desconhecida, pois Palant não detectou nenhuma atividade maliciosa.
O pesquisador também descobriu que o código foi configurado para ativar 24 horas após a instalação da extensão, o que aponta para intenções maliciosas, relata o relatório mencionado.
Em uma artigo de acompanhamento publicado em 31 de maio de 2023, Palant escreveu que encontrou o mesmo código malicioso em outras 18 extensões do Chrome com uma contagem total de downloads de 55 milhões na Chrome Web Store.
Continuando sua investigação, Palant encontrou duas variantes do código que eram muito semelhantes, mas com pequenas diferenças:
A primeira variante se disfarça como o navegador WebExtension da Mozilla API Polyfill. O endereço de download “config” é https://serasearchtop.com/cfg/
No entanto, ambas as variantes mantêm o mecanismo de injeção de código JS arbitrário exato envolvendo serasearchtop[.]com.
Embora o pesquisador não tenha observado o código malicioso em ação, ele observou vários relatórios e análises de usuários na Web Store indicando que as extensões estavam sequestrando resultados de pesquisa e redirecionando-os aleatoriamente para outro lugar.
Embora Palant tenha relatado suas descobertas ao Google, as extensões permaneceram disponível na Chrome Web Store. Somente depois que a empresa de segurança cibernética Avast confirmou a natureza maliciosa das extensões do Chrome, elas foram retiradas do ar pelo gigante das buscas.
Palant tinha listou 34 extensões maliciosas em seu site, com uma contagem total de downloads de 87 milhões. Até o momento, todas essas extensões maliciosas foram removidas pelo Google da Chrome Web Store. No entanto, isso não os desativa ou desinstala automaticamente de seus navegadores da web. Portanto, recomenda-se que os usuários os desinstale de seus dispositivos manualmente.
