O Google removeu mais de 500 extensões maliciosas da Web Store do Chrome, após um levantamento de dois meses conduzido pela pesquisadora de segurança Jamila Kaya e pela equipe de segurança Duo, da Cisco.

As extensões removidas injetavam anúncios maliciosos (malvertising) nas sessões de navegação dos usuários. Sob certas condições, o malware redirecionou os usuários para sites específicos, alguns legítimos como Macys, Dell ou BestBuy, mas em outros casos o destino seria algo malicioso, como um site de download de malware ou uma página de phishing.

A operação estava ativa há pelo menos dois anos, e o relatório produzido pelo levantamento aponta que o grupo que comandava essas extensões existe pelo menos desde o início dos anos 2010. “Individualmente, identifiquei mais de uma dúzia de extensões que compartilhavam um padrão”, disse Kaya ao ZDNet. “Ao entrar em contato com a Duo, pudemos imprimi-los rapidamente usando o banco de dados do CRXcavator e descobrir toda a rede”.

O CRXcavator é um serviço que analisa extensões do Chrome, no qual foi possível descobrir um cluster inicial de extensões que são executadas sobre uma base de código quase idêntica, mas usavam vários nomes genéricos, com poucas informações sobre seu verdadeiro objetivo. Segundo Duo, essas primeiras séries de extensões tinham uma contagem total de instalação de mais de 1,7 milhão de usuários do Chrome.

“Subsequentemente, procuramos o Google com nossas descobertas, que foram receptivas e colaborativas na eliminação das extensões”, lembra a pesquisadora. A própria empresa também conduziu uma investigação e encontrou ainda mais extensões que se encaixavam no mesmo padrão. No total, 500 extensões foram banidas e não está claro quantos usuários as instalaram – mas é provável que o número esteja na faixa de milhões.

Via: ZDNet