Falsa extensão do Chrome tem 200 mil instalações

Após alertas de um de seus leitores, o BleepingComputer descobriu que uma falsa extensão do Chrome tem 200 mil instalações.

A extensão do Google Chrome ‘Internet Download Manager’ instalada por mais de 200.000 usuários é um adware. A extensão está na Chrome Web Store desde pelo menos junho de 2019, de acordo com as primeiras análises publicadas pelos usuários.

Falsa extensão do Chrome tem 200 mil instalações

Falsa extensão do Chrome tem 200 mil instalações
Falsa extensão do Chrome tem 200 mil instalações – Extensão do Chrome Internet Download Manager na Chrome Web Store (BleepingComputer)

Embora a extensão possa instalar um programa gerenciador de downloads conhecido e legítimo, o site BleepingComputer observou o comportamento indesejado exibido pela extensão – como abrir links para sites com spam, alterar o mecanismo de pesquisa padrão do navegador e perseguir ainda mais o usuário com pop-ups solicitando que eles baixem mais “patches” e programas indesejados.

Um leitor do site BleepingComputer informou que descobriu um complemento do Chrome “executando sites maliciosos ao se passar por softwares famosos”.

E a preocupação dele parece válida. A extensão do navegador ‘Internet Download Manager’ instalada por mais de 200.000 usuários até hoje não parece tão inocente.

Existe um programa legítimo do Windows chamado Internet Download Manager, publicado pela empresa de software Tonec.

O Tonec oferece extensões do Internet Download Manager para Firefox e Chrome. Mas, a extensão autêntica do Chrome fornecida pela empresa é chamada de ‘Módulo de Integração IDM‘.

Além disso, o FAQ do Tonec adverte especificamente:

“Observe que todas as extensões IDM que podem ser encontradas na Google Store são falsas e não devem ser usadas.”

Por outro lado, a extensão falsificada do Chrome ‘Internet Download Manager’ parece ser mantida por um site chamado “Puupnewsapp” que afirma “aumenta sua velocidade de download em até 500%” tornando-o um “super software” para baixar jogos, filmes, músicas , e “arquivos grandes em minutos.” Parece promissor.

As instruções fornecidas pela extensão knock-off são ainda mais desconcertantes – por que alguém precisa baixar e instalar vários programas após instalar a extensão?

Falsa extensão do Chrome tem 200 mil instalações
Falsa extensão do Chrome tem 200 mil instalações – As etapas de instalação para a extensão solicitam que os usuários instalem programas adicionais (BleepingComputer)

Especificamente, ao instalar o ‘Internet Download Manager’, os usuários agora são solicitados a instalar um executável do site puupnewsapp e, adicionalmente, baixar um arquivo ZIP de “patch do Windows”:
hxxps://www.puupnewsapp[.]com/idman638build25.exe
hxxps://www.puupnewsapp[.]com/windows.zip

O executável ‘idman638build25.exe’ parece ser uma versão válida e assinada do legítimo Tonec Internet Download Manager.

O arquivo ‘windows.zip’ analisado pelo BleepingComputer contém versões de 32 e 64 bits do NodeJS e executa código JavaScript para ajustar as configurações de registro do Chrome e Firefox.

Falsa extensão do Chrome tem 200 mil instalações
Falsa extensão do Chrome tem 200 mil instalações – Arquivo NodeJS fazendo alterações no registro para Firefox e Chrome (BleepingComputer)

O que também se destacou foi que a instalação da extensão em um ambiente de teste mudou o mecanismo de pesquisa padrão do navegador para smartwebfinder[.]com.

Também foram observados pop-ups frequentes pedindo ao usuário que instale mais complementos, como para Firefox, assim como a extensão que lança sites de terceiros no navegador.

Felizmente, os revisores, alguns desde 2019, parecem ter percebido o comportamento desonesto. Embora muitos revisores (provavelmente inautênticos) afirmem não ter problemas com a extensão.

Os leitores do BleepingComputer já relataram problemas com extensões não autorizadas semelhantes que encontraram na Chrome Web Store.

Os detalhes da extensão falsificada são os seguintes:
ID da extensão: lcdlanlaneooailnebnhamiiieebikid
.crx hash (SHA-256): b4b47730b62592c21368c2546e578342fff8383693e89211155c2d61d88058ba
URL da loja virtual: hxxps://chrome.google[.]com/webstore/detail/internet-download-manager/lcdlanlaneooailnebnhamiiieebikid?hl=en

Uma pesquisa rápida na Chrome Web Store por “IDM”, “complementos de integração do IDM” ou “Gerenciador de downloads” produzirá resultados contendo extensões com centenas de milhares de instalações de usuários e análises favoráveis ​​que podem parecer promissoras.

Embora nem todas essas extensões possam ser prejudiciais, os usuários devem ter cuidado ao instalar novas extensões do Chrome e verificar se são versões oficiais publicadas por fornecedores de software confiáveis.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.