Google, Chrome Web Mağazası’ndan arama sonuçlarını değiştirebilen, spam veya istenmeyen reklamlar yayınlayabilen toplam 75 milyon indirme sayısına ulaşan 32 kötü amaçlı uzantıyı kaldırdı. BleepingComputer’a göre, uzantılar, kullanıcıları gizlenmiş kodla teslim edilen kötü niyetli davranıştan habersiz tutmak için meşru işlevler içeriyordu. Siber güvenlik araştırmacısı Wladimir Palant, Chrome Web Mağazası’nda bulunan PDF Toolbox uzantısı (2 milyon indirme) üzerinde yaptığı bir analizde, meşru bir API sarmalayıcı olarak gizlenmiş bir kod buldu. Araştırmacı, kodun “serasearchtop[.]com” etki alanının, kullanıcının ziyaret ettiği herhangi bir web sitesine rastgele JavaScript kodu enjekte etmesine izin verdiğini açıkladı.
Raporda ayrıca, kötüye kullanım olasılıklarının web sayfalarına reklam eklemekten hassas bilgileri çalmaya kadar uzandığı belirtildi. Ancak araştırmacı herhangi bir kötü niyetli faaliyet gözlemlemedi, bu nedenle kodun amacı bilinmiyordu. Araştırmacı ayrıca, kodun uzantıyı yükledikten 24 saat sonra etkinleşecek şekilde ayarlandığını keşfetmiştir ki bu da kötü niyetin tipik bir örneğidir. Bu arada Google, şirketin geçtiğimiz yıl yüz binlerce Chrome tarayıcı kullanıcısının verilerini çaldığını iddia ettiği kötü şöhretli CryptBot zararlı yazılımını engelledi. Şirkete göre CryptBot, kimlik doğrulama bilgileri, sosyal medya hesap girişleri, kripto para cüzdanları ve daha fazlası olacak biçimde kurbanların bilgisayarlarındaki hassas bilgileri belirlemek ve çalmak için tasarlandığından, genellikle ‘bilgi hırsızı’ olarak adlandırılan bir kötü amaçlı yazılım türüdür.
Kötüye kullanım potansiyeli, web sayfalarına reklam eklemekten hassas bilgileri çalmaya kadar uzanıyor. Birkaç gün önce Palant, toplam indirme sayısı 55 milyon olan 18 Chrome uzantısında daha aynı şüpheli kodu keşfettiğini bildiren bir takip yazısı yayınladı. Uzantılardan bazı örnekler ise şunlar:
- Youtube için Autoskip – 9 milyon aktif kullanıcı
- Soundboost – 6,9 milyon aktif kullanıcı
- Crystal Ad block – 6,8 milyon aktif kullanıcı
- Brisk VPN – 5,6 milyon aktif kullanıcı
- Clipboard Helper – 3,5 milyon aktif kullanıcı
- Maxi Refresher – 3,5 milyon aktif kullanıcı
Palant’ın ikinci yazıyı yayınladığı sırada, tüm uzantılar Chrome Web Mağazası’nda hala mevcuttu. Araştırmasına devam eden Palant, kodun iki varyantını buldu. Biri, Mozilla’nın WebExtension tarayıcı API Polyfill’i olarak maskelenmiş, diğeri ise Day.js kütüphanesi gibi davranıyorum. Araştırmacı, açık bir kötü niyetli faaliyet gözlemlememiş olsa da, Web Mağazası’nda uzantıların yeniden yönlendirmeler ve arama sonucu ele geçirme gerçekleştirdiğini belirten çok sayıda kullanıcı raporu ve incelemesi olduğunu belirtti.