Google heeft 34 kwaadaardige browserextensies uit de Chrome Web Store verwijderd die samen een downloadaantal van 87 miljoen hadden. Hoewel deze extensies legitieme functionaliteit bevatten, kunnen ze zoekresultaten wijzigen en spam of ongewenste advertenties pushen.
Vorige maand ontdekte een onafhankelijk cyberbeveiligingsonderzoeker Wladimir Palant een browserextensie met de naam’PDF Toolbox'(2 miljoen downloads) voor Google Chrome met een slim vermomde verborgen code om gebruikers niet bewust te maken van hun potentiële risico’s.
Chrome Web Store verwijdert 34 schadelijke extensies met 87 miljoen downloads
De onderzoeker analyseerde de PDF Toolbox-extensie en publiceerde een gedetailleerd rapport op 16 mei. Hij legde uit dat de code was gemaakt om eruit te zien als een legitieme extensie-API-wrapper. Maar helaas zorgde deze code ervoor dat de “serasearchtop[.]com”-website willekeurige JavaScript-code kon injecteren in elke webpagina die een gebruiker bekeek.
Volgens het rapport, de potentiële vormen van misbruik zijn onder andere het kapen van zoekresultaten om gesponsorde links en betaalde resultaten weer te geven, waarbij soms zelfs kwaadaardige links worden aangeboden, en het stelen van gevoelige informatie. Het doel van de code bleef echter onbekend, aangezien Palant geen kwaadaardige activiteiten detecteerde.
De onderzoeker ontdekte ook dat de code 24 uur na installatie van de extensie geactiveerd was, wat wijst op kwaadaardige bedoelingen, aldus het rapport. vermeld.
In een vervolgartikel gepost op 31 mei 2023, schreef Palant dat hij dezelfde kwaadaardige code had gevonden in nog eens 18 Chrome-extensies met een totaal aantal downloads van 55 miljoen in de Chrome Web Store.
Palant zette zijn onderzoek voort en vond twee varianten van de code die erg op elkaar leken, maar met kleine verschillen:
De eerste variant doet zich voor als Mozilla’s WebExtension-browser API Polyfill. Het”config”-downloadadres is https://serasearchtop.com/cfg/
Beide varianten behouden echter het exacte willekeurige JS-code-injectiemechanisme waarbij serasearchtop[.]com betrokken is.
Hoewel de onderzoeker de schadelijke code niet in actie zag, merkte hij op verschillende gebruikersrapporten en recensies in de Web Store die aangeven dat de extensies zoekresultaten kapen en willekeurig ergens anders heen leiden.
Hoewel Palant zijn bevindingen aan Google rapporteerde, bleven de extensies bestaan beschikbaar in de Chrome Web Store. Pas nadat cyberbeveiligingsbedrijf Avast de kwaadaardige aard van de Chrome-extensies had bevestigd, werden ze offline gehaald door de zoekgigant.
Palant had vermeld 34 kwaadaardige extensies op zijn website, met een totaal aantal downloads van 87 miljoen. Op dit moment zijn al deze kwaadaardige extensies verwijderd door Google uit de Chrome Web Store. Dit deactiveert of verwijdert ze echter niet automatisch uit hun webbrowsers. Daarom wordt gebruikers aangeraden om ze handmatig van hun apparaten te verwijderen.