Pesquisadores de cibersegurança descobriram uma rede de 152 extensões do Google Chrome que funcionam como papéis de parede animados para novas abas e distribuem uma família de PPI (Programas Potencialmente Indesejados).
O grupo abrange 38 contas separadas de editores da Chrome Web Store e três domínios de marca: tabplugins[.]com, yowgames[.]com e chromewallpaper[.]com. Elas foram instaladas coletivamente 105 mil vezes. Os nomes de algumas das extensões estão listados abaixo:
- Neymar - Football Live Wallpaper (laafpeklcnlfmjaofbndehkjpnccbhek)
- Satoru Gojo Manga Live Wallpaper (mnpacdigbockiilmilhbedciadenfdnb)
- Porsche 911 - Sports Car Live Wallpaper (dead service worker) (iedplnnolciaofkakkjmcojnmklpfikg)
- Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)
- Hello Kitty Wallpapers HD New Tab (hijpkhinofkdobfagfbobnnoihmopgkk)
- Pusheen Cat Wallpapers HD New Tab (famchdjojcnakamhkddkpaglnkonkfnl)
- Peach & Goma Wallpapers HD New Tab (nomekamioepglinefhenifnbegjhfiai)
- Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)
- BMW M3 Neon Night Drive Live Wallpaper (gfikbhpfjldbbikolkcimfgmejhdkjbe)
- BMW Wallpapers (dbiamdajndfmpmmeklcbbnekhkdcakhf)
- Death Note Anime Wallpapers HD New Tab (pkdloppfapenphihgbldhjjlfhgnkmcg)
- Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)
- Tanjiro - Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)
- Neymar New Tab Wallpaper (gkbfokaephnaajnmpgiieidpfieamggb)
- Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)
- Choso Wallpapers New Tab (ojeaociifmdciibodcifjjocdlbjjeep)
- Anime Rain Live Wallpaper (npcghghfkbpgiamoifabankdnmopenni)
- Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)
- Straw Hat Live Wallpaper Ghost of Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
- Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)
Política de privacidade enganosa
"Cada listagem declara na Chrome Web Store que não coletará ou usará dados do usuário, enquanto a política de privacidade vinculada admite o contrário: que as extensões registram endereços IP, ISP (Provedor de Serviços de Internet), contagens de cliques e referenciadores e compartilham esses dados com Google AdSense, DoubleClick e parceiros de anúncios terceirizados", disse Kush Pandya, pesquisador de segurança da Socket.
Técnicas de falsificação de tráfego
Além disso, um subgrupo das extensões identificadas define dois URLs codificados em um arquivo JavaScript ("js/bg.js") que são ativados durante operações de instalação e desinstalação:
- O URL de instalação inclui parâmetros UTM (Urchin Tracking Module, um sistema de rastreamento de campanhas) "utm_source=google&utm_medium=organic&ut m_campaign=tanjiro-demon-slayer-live-wallpaper", disfarçando assim a abertura de uma aba pela extensão na instalação como uma busca "orgânica".
- O URL de desinstalação é um wrapper de redirecionamento google.com/url que mascara a desinstalação como uma atividade genuína de busca do Google.
Busca orgânica em mecanismos de busca como o Google refere-se às listagens não pagas em uma página de resultados de mecanismo de busca (SERP) geradas por algoritmos. Seu posicionamento é baseado em parâmetros como relevância, autoridade e SEO (Search Engine Optimization, Otimização para Mecanismos de Busca), e é diferente dos resultados patrocinados.
A ideia por trás dessas extensões, segundo a Socket, é criar artificialmente esse sinal, o que essencialmente equivale a fabricar a origem do próprio tráfego.
"A visita não é uma pessoa que pesquisou no Google; é a extensão abrindo uma aba por conta própria e carimbando 'cheguei da busca orgânica do Google'", explicou a empresa.
"O ping de desinstalação vai além, envolvendo o destino no formato exato google.com/url que o Google usa para cliques reais em resultados de busca, incluindo os tokens ved e usg assinados, para que a visita pareça um humano clicando em um resultado do Google."
Capacidade destrutiva oculta
Os arquivos JavaScript também vêm equipados com uma capacidade latente de enumerar e excluir cada banco de dados IndexedDB (sistema de armazenamento local do navegador) que conseguirem encontrar quando um Service Worker (processo em segundo plano do navegador) é iniciado.
Origem e motivações
A campanha é avaliada como uma "operação de afiliados motivada financeiramente, com software publicitário comercial e fraude de atribuição de tráfego", embora sua procedência exata permaneça desconhecida. Indicadores circunstanciais disponíveis sugerem que pode ter se originado da Turkiye (Turquia).
