Google heeft 34 kwaadaardige browserextensies uit de Chrome Web Store verwijderd, die samen 87 miljoen downloads hadden. Hoewel deze extensies legitieme functionaliteit bevatten, kunnen ze zoekresultaten wijzigen en spam of ongewenste advertenties pushen.
Vorige maand ontdekte een onafhankelijke cyberbeveiligingsonderzoeker Wladimir Palant een browserextensie genaamd ‘PDF Toolbox’ (2 miljoen downloads) voor Google Chrome met een slim vermomde versluierde code om gebruikers niet bewust te maken van hun potentiële risico’s.
Chrome Web Store verwijdert 34 kwaadaardige extensies met 87 miljoen downloads
De onderzoeker analyseerde de PDF Toolbox-extensie en een gedetailleerd rapport gepubliceerd op 16 mei. Hij legde uit dat de code was gemaakt om eruit te zien als een legitieme extensie-API-wrapper. Maar helaas stond deze code de “serasearchtop[.]com”-website om willekeurige JavaScript-code te injecteren in elke webpagina die een gebruiker heeft bekeken.
Volgens het rapport omvatten de mogelijke misbruiken het kapen van zoekresultaten om gesponsorde links en betaalde resultaten weer te geven, soms zelfs het aanbieden van kwaadaardige links, en het stelen van gevoelige informatie. Het doel van de code bleef echter onbekend, aangezien Palant geen kwaadwillende activiteiten detecteerde.
De onderzoeker ontdekte ook dat de code was ingesteld om 24 uur na installatie van de extensie te activeren, wat wijst op kwade bedoelingen, aldus het rapport.
In een vervolgartikel geplaatst op 31 mei 2023schreef Palant dat hij dezelfde kwaadaardige code had gevonden in nog eens 18 Chrome-extensies met een totaal aantal downloads van 55 miljoen in de Chrome Web Store.
Palant zette zijn onderzoek voort en vond twee varianten van de code die erg op elkaar leken, maar met kleine verschillen:
- De eerste variant doet zich voor als Mozilla’s WebExtension-browser-API Polyfill. Het “config”-downloadadres is https://serasearchtop.com/cfg/
/polyfill.json, en het verminkte tijdstempel dat downloads binnen de eerste 24 uur verhindert, is localStorage.polyfill. - De tweede variant doet zich voor als Day.js-bibliotheek. Het downloadt gegevens van https://serasearchtop.com/cfg/
/locale.json en slaat de verminkte tijdstempel op in localStorage.locale.
Beide varianten behouden echter het exacte willekeurige JS-code-injectiemechanisme met serasearchtop[.]com.
Hoewel de onderzoeker de schadelijke code niet in actie zag, merkte hij verschillende gebruikersrapporten en beoordelingen op in de Web Store die erop wezen dat de extensies zoekresultaten kapen en willekeurig naar elders doorstuurden.
Hoewel Palant zijn bevindingen aan Google rapporteerde, bleven de extensies beschikbaar in de Chrome Web Store. Pas nadat cyberbeveiligingsbedrijf Avast de kwaadaardige aard van de Chrome-extensies had bevestigd, werden ze offline gehaald door de zoekgigant.
Palant had genoteerd 34 kwaadaardige extensies op zijn website, met een totaal aantal downloads van 87 miljoen. Op dit moment zijn al deze kwaadaardige extensies door Google verwijderd uit de Chrome Web Store. Dit deactiveert of verwijdert ze echter niet automatisch uit hun webbrowsers. Daarom wordt gebruikers aangeraden om ze handmatig van hun apparaten te verwijderen.