Владимир Палант (Wladimir Palant), создатель AdBlock Plus, обнаружил вредоносные расширения и опубликовал информацию о них на блоге Almost Secure. Палант проинформировал Google о 34 вредоносных расширениях, но удаление не было мгновенным.
Google удалил вредоносные расширения из Интернет-магазина Chrome после того, как компания Avast подтвердила эти находки. В последующей публикации блога Палант отметил, что 8 расширений не были удалены Google, так как они были добавлены позже и не попали в список анализа Avast.
Несколько из удаленных расширений имели миллионы пользователей. Например, аудитория расширения «Autoskip for YouTube» превысила 9 миллионов активных пользователей (пользуются еженедельно). Google даже пометил многие из этих расширений как рекомендованные, что еще раз подчеркивает, что компания не прикладывает достаточно усилий, чтобы убедиться в безопасности рекомендуемых расширений.
У Mozilla в этом плане дела обстоят лучше. Все рекомендованные расширения проходят проверку исходного кода при каждом обновлении, что означает, что вероятность наличия вредоносного рекомендованного расширения крайне мала. Ревьюер должен пропустить вредоносный код в расширении, чтобы это произошло.
Большинство расширений, обнаруженных Палантом, связаны с повышением производительности. Некоторые из них представляют собой загрузчики видео, другие позволяют взаимодействовать с видео или аудио, например, изменять громкость, вносить визуальные изменения или якобы блокировать рекламу.
Требуется ручное удаление
Основна проблема заключается в том, что удаление расширений из Интернет-магазина не удаляет вредоносные расширения из установок Chrome.
Ниже приводится полный список вредоносных расширений:
| Название | Активные пользователей за неделю | ID |
|---|---|---|
| Autoskip for Youtube | 9,008,298 | lgjdgmdbfhobkdbcjnpnlmhnplnidkkp |
| Soundboost | 6,925,522 | chmfnmjfghjpdamlofhlonnnnokkpbao |
| Crystal Ad block | 6,869,278 | lklmhefoneonjalpjcnhaidnodopinib |
| Brisk VPN | 5,595,420 | ciifcakemmcbbdpmljdohdmbodagmela |
| Clipboard Helper | 3,499,233 | meljmedplehjlnnaempfdoecookjenph |
| Maxi Refresher | 3,483,639 | lipmdblppejomolopniipdjlpfjcojob |
| Quick Translation | 2,797,773 | lmcboojgmmaafdmgacncdpjnpnnhpmei |
| Easyview Reader view | 2,786,137 | icnekagcncdgpdnpoecofjinkplbnocm |
| PDF toolbox | 2,782,790 | bahogceckgcanpcoabcdgmoidngedmfo |
| Epsilon Ad blocker | 2,571,050 | bkpdalonclochcahhipekbnedhklcdnp |
| Craft Cursors | 2,437,224 | magnkhldhhgdlhikeighmhlhonpmlolk |
| Alfablocker ad blocker | 2,430,636 | edadmcnnkkkgmofibeehgaffppadbnbi |
| Zoom Plus | 2,370,645 | ajneghihjbebmnljfhlpdmjjpifeaokc |
| Base Image Downloader | 2,366,136 | nadenkhojomjfdcppbhhncbfakfjiabp |
| Clickish fun cursors | 2,353,436 | pbdpfhmbdldfoioggnphkiocpidecmbp |
| Cursor-A custom cursor | 2,237,147 | hdgdghnfcappcodemanhafioghjhlbpb |
| Amazing Dark Mode | 2,228,049 | fbjfihoienmhbjflbobnmimfijpngkpa |
| Maximum Color Changer for Youtube | 2,226,293 | kjeffohcijbnlkgoaibmdcfconakaajm |
| Awesome Auto Refresh | 2,222,284 | djmpbcihmblfdlkcfncodakgopmpgpgh |
| Venus Adblock | 1,973,783 | obeokabcpoilgegepbhlcleanmpgkhcp |
| Adblock Dragon | 1,967,202 | mcmdolplhpeopapnlpbjceoofpgmkahc |
| Readl Reader mode | 1,852,707 | dppnhoaonckcimpejpjodcdoenfjleme |
| Volume Frenzy | 1,626,760 | idgncaddojiejegdmkofblgplkgmeipk |
| Image download center | 1,493,741 | deebfeldnfhemlnidojiiidadkgnglpi |
| Font Customizer | 1,471,726 | gfbgiekofllpkpaoadjhbbfnljbcimoh |
| Easy Undo Closed Tabs | 1,460,691 | pbebadpeajadcmaoofljnnfgofehnpeo |
| Screence screen recorder | 1,459,488 | flmihfcdcgigpfcfjpdcniidbfnffdcf |
| OneCleaner | 1,457,548 | pinnfpbpjancnbidnnhpemakncopaega |
| Repeat button | 1,456,013 | iicpikopjmmincpjkckdngpkmlcchold |
| Leap Video Downloader | 1,454,917 | bjlcpoknpgaoaollojjdnbdojdclidkh |
| Tap Image Downloader | 1,451,822 | okclicinnbnfkgchommiamjnkjcibfid |
| Qspeed Video Speed Controller | 732,250 | pcjmcnhpobkjnhajhhleejfmpeoahclc |
| HyperVolume | 592,479 | hinhmojdkodmficpockledafoeodokmc |
| Light picture-in-picture | 172,931 | gcnceeflimggoamelclcbhcdggcmnglm |
Палант считает, что список может быть неполным. Он основан на выборке около 1600 расширений, а не на всех доступных на площадке расширениях.
Список установленных расширений доступен на странице chrome://extensions/ . Вы можете перейти на эту страницу, выбрав Меню > Расширения > Управление расширениями.
Убедитесь, что в списке установленных расширений отсутствуют вредоносные расширения, в противном случае удалите их, нажав на кнопку Удалить.
С техническими подробностями можно ознакомиться в отдельных статьях Паланта. Также дополнительная информация приводится в статье Avast.
Для пользователей Chrome важно немедленно избавиться от вредоносных расширений. Хотя точно неясно, что именно они делают, в любом случае, они предназначены для вредоносной активности.
Угрозы безопасности
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud