O Google removeu da Chrome Web Store 32 extensões maliciosas que podiam alterar resultados de busca e exibir spam ou anúncios indesejados.
Coletivamente, elas tinham um total de 75 milhões de downloads.
As extensões apresentavam funcionalidades legítimas para manter os usuários sem saber do comportamento malicioso que vinha em código ofuscado para entregar os payloads.
O pesquisador de segurança cibernética Wladimir Palant analisou a extensão PDF Toolbox (2 milhões de downloads) disponível na Chrome Web Store e descobriu que ela incluía código que estava disfarçado como um invólucro de API de extensão legítima.
Em um artigo no meio de maio, o pesquisador explica que o código permitia que o domínio "serasearchtop" injetasse código JavaScript arbitrário em qualquer site visitado pelo usuário.
O potencial de abuso varia desde a inserção de anúncios em páginas da Web até a obtenção de informações confidenciais.
No entanto, Palant não observou nenhuma atividade maliciosa, então o propósito do código permaneceu obscuro.
O pesquisador também notou que o código estava configurado para ativar 24 horas após a instalação da extensão, um comportamento que geralmente está associado a intenções maliciosas.
Há alguns dias, Palant publicou um post de acompanhamento sobre o caso para alertar que havia descoberto o mesmo código suspeito em outras 18 extensões do Chrome com um total de download de 55 milhões.
No momento da publicação do segundo post de Palant, todas as extensões ainda estavam disponíveis na Chrome Web Store.
Continuando sua investigação, Palant encontrou duas variantes do código: uma disfarçada como a API do navegador WebExtension da Mozilla Polyfill, e outra se fazendo passar pela biblioteca Day.js.
No entanto, ambas as versões apresentavam o mesmo mecanismo de injeção de código JS arbitrário envolvendo serasearchtop.
Embora o pesquisador não tenha observado nenhuma atividade maliciosa clara, ele observou que há inúmeras avaliações e relatórios de usuários na Web Store indicando que as extensões estavam realizando redirecionamentos e sequestrando resultados de pesquisa.
Apesar de seus esforços para relatar as extensões suspeitas ao Google, elas continuaram disponíveis para os usuários na Chrome Web Store.
No entanto, hoje a empresa de cibersegurança Avast disse que relatou as extensões ao Google depois de confirmar sua natureza maliciosa e expandiu a lista para 32 entradas.
Coletivamente, essas extensões tinham 75 milhões de instalações.
A Avast diz que embora as extensões pareçam inofensivas para os usuários desavisados, elas são adwares que sequestram resultados de pesquisa para exibir links patrocinados e resultados pagos, às vezes até servindo links maliciosos.
Respondendo a um pedido de comentário da BleepingComputer antes que a Avast publicasse suas descobertas, um porta-voz do Google disse que as "extensões relatadas foram removidas da Chrome Web Store".
A Avast destaca o impacto significativo das extensões, que visaram dezenas de milhares de seus clientes e potencialmente milhões em todo o mundo.
Para seus clientes, a Avast neutralizou seletivamente apenas os elementos maliciosos nas extensões, permitindo que os recursos legítimos continuem operando sem interrupção.
Embora os 75 milhões de downloads pareçam preocupantes, a empresa suspeita que o número tenha sido "inflado artificialmente".
Uma lista completa das extensões maliciosas (IDs) pode ser encontrada no relatório da Avast.
Os usuários devem observar que a remoção das extensões da Chrome Web Store não as desativa automaticamente ou as desinstala de seus navegadores, portanto, ação manual é necessária para eliminar o risco.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...