Злоумышленникам удалось скомпрометировать легитимные расширения для Google Chrome за счет перехвата учетных данных разработчика с помощью фишинг-атаки. Взломанные расширения используются для показа партнерских рекламных объявлении о необходимости исправления проблем на компьютере.
Исследователь Kafeine из компании Proofpoint обнаружил 6 взломанных расширений для Chrome, которые были модифицированы злоумышленником после успешной фишинг-атаки на Google аккаунты разработчиков.
Расширения Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, CopyFish 2.8.5, Web Paint 1.2.1, и Social Fixer 20.1.1 были взломаны в конце июля или в начале августа. Kafeine считает, что TouchVPN и Betternet VPN также были скомпрометированы в конце июня с использованием аналогичной техники.
Основной целью преступников стала переадресация пользователей Chrome на партнерские программы и отображение вредоносных рекламных объявлений для получения дохода за счет реферальных отчислений.
Злоумышленники также собрали учетные записи пользователей серсиса Cloudflare - эти данные могут использоваться в будущих атаках.
Атакующие модифицировали расширения для отображения баннерной рекламы на сайтах для взрослых и на сайтах других тематических категорий, и для перехвата трафика с надежных рекламных сетей.
Kafeine отмечает: “Во многих случаях жертвы получали фальшивые JavaScript -предупреждения о необходимости исправить работу компьютера, при нажатии по ним пользователь перенаправлялся на страницы партнерских программ, которые позволяли киберпреступникам получать доход”.
По крайней мере, одна из партнерских программ, получающих захваченный трафик, продвигала PCKeeper, инструмент, ориентированный на Windows. Продукт создан компанией ZeobitLLC, разработчиком продукта безопасности MacKeeper, который несколько лет назад был предметом группового иска по поводу ложных тревог безопасности.
Фрагмент JavaScript в уязвимых расширениях также загружал файл, который обрабатывался Cloudflare и содержал код со сценарием, предназначенным для сбора учетных данных пользователя Cloudflare после входа в систему. Cloudflare прекратил обслуживать файл после того, как компания Proofpoint предупредила сервис о проблеме.
Фишинг-сообщения, который использовались для компрометации расширений, как утверждается, поступали от команды разработчиков Интернет-магазина Google. В сообщениях отмечалось, что авторские расширения не соответствуют политики Google и будут удалены, если проблемы не будут исправлены.
Как сообщил портал Bleeping Computer, команда безопасности Google отправила электронное сообщение всем разработчикам расширений Chrome, предупреждающее о фишинг-атаках. Злоумышленники создали убедительную копию страницы входа в реальную учетную запись Google.
Это не первый случай, когда расширения Chrome нацелены на распространение рекламного ПО и продвижение партнерских сетей. В 2014 году рекламные компании купили несколько популярных расширений Chrome у законных разработчиков, которые до этого момента поддерживали надежные продукты.
По материалам ZDNet
Угрозы безопасности
• Google настоятельно рекомендует отказаться от паролей
• Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption
• Mozilla запускает новую систему для обнаружения расширений в Firefox, ворующих криптовалюту
• Qualcomm устранила три эксплуатируемые уязвимости нулевого дня в Adreno GPU
• Утечка данных: в сеть слиты данные 184 миллионов аккаунтов, включая пароли от Google, PayPal и Netflix
• Вредоносные расширения для Chrome крадут данные, маскируясь под Fortinet, YouTube, ИИ-помощники и VPN