Foi descoberto mais um lote de extensões maliciosas na Chrome Web Store, que acumulam mais de 1.7 milhões de downloads.
Investigadores de segurança descobriram quase uma dúzia de extensões maliciosas na Chrome Web Store, com um total de 1.7 milhões de instalações. Apesar de se apresentarem como ferramentas legítimas – como teclados de emojis, VPNs, controladores de volume ou seleccionadores de cores – estas extensões recolhiam dados de navegação, faziam o tracking dos utilizadores, e podiam redirecioná-los para sites perigosos.
A investigação foi conduzida pela Koi Security, que notificou a Google sobre os casos. Algumas das extensões já foram removidas mas outras continuam activas e até “verificadas”, com centenas de avaliações positivas que criam uma falsa sensação de segurança. A extensão “Volume Max — Ultimate Sound Booster” foi inclusivamente sinalizada por dois grupos de segurança distintos.
As extensões maliciosas, que devem ser desinstaladas quanto antes:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
O código malicioso está escondido no service worker das extensões, activando-se sempre que o utilizador navega para uma nova página. Nesse momento, a extensão envia o URL visitado e um identificador único do utilizador para um servidor remoto, que pode responder com instruções para redirecionar a navegação para outros sites – embora esse comportamento não tenha sido observado durante os testes.
No total, estas extensões também afectaram utilizadores do Microsoft Edge, somando mais 600.000 instalações adicionais e elevando o número total de vítimas para 2.3 milhões.
Suspeita-se que, pelo menos nalguns dos casos, se possam tratar de extensões que tenham sido vendidas a novos donos, tirando partido da reputação e confiança conquistada durante anos com a extensão a fazer apenas o que era suposto, mas com os novos donos a adicionarem componentes maliciosos e tirando partido da funcionalidade de actualização automática das extensões para chegarem automaticamente a um grande número de vítimas.
(Ptnik)