Google đã xóa 34 tiện ích trình duyệt độc hại khỏi Cửa hàng Chrome trực tuyến có tổng số số lượt tải xuống là 87 triệu. Mặc dù các tiện ích mở rộng này có chức năng hợp pháp nhưng chúng có thể sửa đổi kết quả tìm kiếm và đẩy spam hoặc quảng cáo không mong muốn.
Tháng trước, nhà nghiên cứu an ninh mạng độc lập Wladimir Palant đã phát hiện ra một tiện ích mở rộng trình duyệt có tên’Hộp công cụ PDF'(2 triệu lượt tải xuống) cho Google Chrome có mã được ngụy trang khéo léo để giúp người dùng không nhận thức được những rủi ro tiềm ẩn của chúng.
Cửa hàng Chrome trực tuyến xóa 34 tiện ích mở rộng độc hại với 87 triệu lượt tải xuống
Nhà nghiên cứu đã phân tích tiện ích Hộp công cụ PDF và đã xuất bản một báo cáo chi tiết vào ngày 16 tháng 5. Ông giải thích rằng mã này được tạo ra để trông giống như một trình bao bọc API tiện ích mở rộng hợp pháp. Nhưng thật không may, mã này đã cho phép trang web “serasearchtop[.]com” chèn mã JavaScript tùy ý vào mọi trang web mà người dùng đã xem.
Theo báo cáo, các hành vi lạm dụng tiềm ẩn bao gồm chiếm đoạt kết quả tìm kiếm để hiển thị các liên kết được tài trợ và kết quả trả tiền, thậm chí đôi khi cung cấp các liên kết độc hại và ăn cắp thông tin nhạy cảm. Tuy nhiên, mục đích của mã vẫn chưa được biết vì Palant không phát hiện thấy bất kỳ hoạt động độc hại nào.
Nhà nghiên cứu cũng phát hiện ra rằng mã này được đặt để kích hoạt 24 giờ sau khi cài đặt tiện ích mở rộng, báo cáo cho thấy ý định độc hại đã đề cập.
Trong bài viết tiếp theo được đăng vào ngày 31 tháng 5 năm 2023, Palant đã viết rằng ông đã tìm thấy cùng một loại mã độc trong 18 tiện ích mở rộng khác của Chrome với tổng số lượt tải xuống là 55 triệu trên Cửa hàng Chrome trực tuyến.
Tiếp tục điều tra, Palant đã tìm thấy hai biến thể của mã rất giống nhau nhưng có những khác biệt nhỏ:
Biến thể đầu tiên giả dạng là trình duyệt WebExtension của Mozilla API Polyfill. Địa chỉ tải xuống “cấu hình” là https://serasearchtop.com/cfg/
Tuy nhiên, cả hai biến thể đều giữ cơ chế chèn mã JS tùy ý chính xác liên quan đến serasearchtop[.]com.
Mặc dù nhà nghiên cứu không quan sát thấy mã độc hoạt động, nhưng ông lưu ý một số báo cáo và bài đánh giá của người dùng trên Cửa hàng trực tuyến chỉ ra rằng tiện ích mở rộng đang chiếm quyền điều khiển kết quả tìm kiếm và chuyển hướng ngẫu nhiên chúng đến nơi khác.
Mặc dù Palant đã báo cáo phát hiện của mình cho Google nhưng tiện ích mở rộng vẫn còn có sẵn trong Cửa hàng Chrome trực tuyến. Chỉ sau khi công ty an ninh mạng Avast xác nhận tính chất độc hại của các tiện ích mở rộng trên Chrome, chúng mới bị gã khổng lồ tìm kiếm gỡ bỏ ngoại tuyến.
Palant đã được liệt kê 34 tiện ích mở rộng độc hại trên trang web của anh ấy, với tổng số lượt tải xuống là 87 triệu. Cho đến nay, tất cả các tiện ích mở rộng độc hại này đã bị Google xóa khỏi Cửa hàng Chrome trực tuyến. Tuy nhiên, điều này không tự động hủy kích hoạt hoặc gỡ cài đặt chúng khỏi trình duyệt web của họ. Do đó, người dùng nên gỡ cài đặt chúng khỏi thiết bị của mình theo cách thủ công.