Злоумышленникам удалось скомпрометировать легитимные расширения для Google Chrome за счет перехвата учетных данных разработчика с помощью фишинг-атаки. Взломанные расширения используются для показа партнерских рекламных объявлении о необходимости исправления проблем на компьютере.
Исследователь Kafeine из компании Proofpoint обнаружил 6 взломанных расширений для Chrome, которые были модифицированы злоумышленником после успешной фишинг-атаки на Google аккаунты разработчиков.
Расширения Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, CopyFish 2.8.5, Web Paint 1.2.1, и Social Fixer 20.1.1 были взломаны в конце июля или в начале августа. Kafeine считает, что TouchVPN и Betternet VPN также были скомпрометированы в конце июня с использованием аналогичной техники.
Основной целью преступников стала переадресация пользователей Chrome на партнерские программы и отображение вредоносных рекламных объявлений для получения дохода за счет реферальных отчислений.
Злоумышленники также собрали учетные записи пользователей серсиса Cloudflare - эти данные могут использоваться в будущих атаках.
Атакующие модифицировали расширения для отображения баннерной рекламы на сайтах для взрослых и на сайтах других тематических категорий, и для перехвата трафика с надежных рекламных сетей.
Kafeine отмечает: “Во многих случаях жертвы получали фальшивые JavaScript -предупреждения о необходимости исправить работу компьютера, при нажатии по ним пользователь перенаправлялся на страницы партнерских программ, которые позволяли киберпреступникам получать доход”.
По крайней мере, одна из партнерских программ, получающих захваченный трафик, продвигала PCKeeper, инструмент, ориентированный на Windows. Продукт создан компанией ZeobitLLC, разработчиком продукта безопасности MacKeeper, который несколько лет назад был предметом группового иска по поводу ложных тревог безопасности.
Фрагмент JavaScript в уязвимых расширениях также загружал файл, который обрабатывался Cloudflare и содержал код со сценарием, предназначенным для сбора учетных данных пользователя Cloudflare после входа в систему. Cloudflare прекратил обслуживать файл после того, как компания Proofpoint предупредила сервис о проблеме.
Фишинг-сообщения, который использовались для компрометации расширений, как утверждается, поступали от команды разработчиков Интернет-магазина Google. В сообщениях отмечалось, что авторские расширения не соответствуют политики Google и будут удалены, если проблемы не будут исправлены.
Как сообщил портал Bleeping Computer, команда безопасности Google отправила электронное сообщение всем разработчикам расширений Chrome, предупреждающее о фишинг-атаках. Злоумышленники создали убедительную копию страницы входа в реальную учетную запись Google.
Это не первый случай, когда расширения Chrome нацелены на распространение рекламного ПО и продвижение партнерских сетей. В 2014 году рекламные компании купили несколько популярных расширений Chrome у законных разработчиков, которые до этого момента поддерживали надежные продукты.
По материалам ZDNet
Угрозы безопасности
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
• Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей
• WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS