Pesquisadores descobrem que extensão do navegador Chrome, “SearchBlox” instalada por mais de 200.000 usuários, contém um backdoor que pode roubar suas credenciais da Roblox. Além disso, a extensão também rouba ativos na Rolimons, uma plataforma de negociação da Roblox.
O BleepingComputer conseguiu analisar o código de extensão que indica a presença de um backdoor, introduzido intencionalmente por seu desenvolvedor ou após um comprometimento.
Extensão do Chrome mmira em jogadores do Roblox
As extensões SearchBlox encontradas na Chrome Web Store parecem estar comprometidas, de acordo com o BleepingCompuer. Segundo o site, existem dois resultados de pesquisa para SearchBlox no Chrome. Essas extensões afirmam permitir que você “pesquise nos servidores Roblox um jogador desejado… extremamente rápido”, mas ambas continham o backdoor.
Os IDs dessas extensões inseguras são: blddohgncmehcepnokognejaahehncd e;ccjalhebkdogpobnbdhfpincfeohonni.
Nas primeiras horas da manhã de quarta-feira, surgiram suspeitas entre os membros da comunidade Roblox de SearchBlox contendo malware. “O plug-in popular SearchBlox foi COMPROMETIDO/BACKDOORED – se você o tiver, sua conta pode estar em risco”, twittou RTC, uma conta não oficial de notícias e comunidade da Roblox.
“Por favor, altere suas senhas, se as tiver – e credenciais, para que sua conta fique segura novamente”. O Bleeping Computer baixou a extensão do Chrome para análise e para a primeira extensão (blddohgncmehcepnokognejaaahehncd) baixada por mais de 200.000 usuários, o backdoor existe na linha 3 do arquivo “content.js”:
Para a segunda extensão (ccjalhebkdogpobnbdhfpincfeohonni) com apenas 959 downloads, o backdoor residia no arquivo ‘button.js’. A URL ofensiva em ambos os casos é:hxxps://searchblox[.]site/image.png/image.txt
Como se a própria estrutura de URL ‘image.png/image.txt’ já não fosse interessante, a página contém código HTML que finge exibir uma imagem usando a tag ”, mas em vez disso carrega JavaScript ofuscado que é ainda mais codificado como entidades de caracteres HTML (usando os símbolos ‘&’ e ‘#’):
O código, quando decodificado, gera um código ofuscado que parece estar exfiltrando as credenciais do Roblox para outro domínio: releasethen.site. O código também aparece para pesquisar o perfil de um jogador no Rolimons.com, uma plataforma de negociação da Roblox. Este detalhe torna-se relevante devido às suspensões de contas de hoje na plataforma, conforme explicado na seção a seguir.
SearchBlox
Infelizmente, não parece ser a primeira vez que uma extensão maliciosa SearchBlox tem como alvo os usuários do Roblox. Em outubro, o Google supostamente derrubou outro SearchBlox da Chrome Web Store desde pelo menos 28 de junho de 2022.
Se o backdoor foi injetado na extensão após o comprometimento por um ator de ameaça ou introduzido intencionalmente pelo desenvolvedor é algo que ainda não foi determinado com autoridade.
Tanto a extensão quanto os URLs ofensivos têm uma reputação limpa do VirusTotal no momento da redação, tornando a detecção dessas extensões maliciosas muito mais difícil.
O BleepingComputer notificou o Google sobre as extensões maliciosas antes da publicação.
