Вредоносные расширения для Chrome и Edge с 3 миллионами пользователей по-прежнему доступны для установки

2020-12-18 6737 комментарии
Вредоносные расширения для Google Chrome и Microsoft Edge продолжают оставаться в Интернет-магазине Chrome и магазине расширений «Надстройки Microsoft Edge». Общее количество их установок превышает 3 миллиона

Вредоносные дополнения для Chrome и Edge занимаются кражей пользовательских данных и перенаправлением пользователей на мошеннические ресурсы.

Вредоносные расширения, обнаруженные лабораторией Avast Threat Intelligence, выглядят как вспомогательные надстройки для Instagram, Facebook, Vimeo и других популярных онлайн-платформ.

Вредоносная активность началась по меньшей мере 2 года назад

Avast обнаружил расширения в ноябре 2020 года, но, по оценкам лаборатории, угрозы могли использоваться в злонамеренных целях в течение нескольких лет. Некоторые обзорщики расширений из Интернет-магазина Chrome сообщали о случаях подмены ссылок еще в декабре 2018 года.

Также исследователям Avast удалось обнаружить вредоносные модули, которые отвечают за загрузку дополнительных угроз в целевые системы.

Исследователи сообщают:

Каждый раз, когда пользователь нажимает на ссылку, расширения отправляют информацию о клике на подконтрольный злоумышленнику командный сервер. Тот в свою очередь может отправить команду для перенаправления жертвы с целевого веб-сайта на новый захваченный URL до того, как перенаправить ее на желаемый веб-ресурс.

Злоумышленники собирают данные о дате рождения пользователей, адресах электронной почты и информацию об устройстве, включая время первого входа в систему, время последнего входа в систему, имя устройства, операционная система, используемый браузер, версия браузера и даже IP-адрес (эти данные могут использоваться для поиска примерного географического местоположения пользователя).

Конечная цель киберпреступников заключается в монетизации пользовательского трафика путем автоматического перенаправления на сторонние домены.

Кроме того, эти расширения также могут перенаправлять пользователей зараженных систем на сайты, заполненные рекламой или используемые в качестве фишинговых целевых страниц.

Трудно обнаружить вредоносную активность

Исследователь вредоносного ПО из Avast Ян Рубин (Jan Rubin) пояснил:

Бэкдоры в расширениях очень хорошо скрыты, и расширения начинают проявлять вредоносное поведение только через несколько дней после установки, что затрудняет обнаружение угрозы любым антивирусным ПО.

Вредоносный код скрывается внутри расширений, и это значительно усложняет задачу обнаружения как исследователям, так и зараженным пользователям.

В качестве одной из тактик обхода обнаружения, вредоносная программа отслеживает, что ищет жертва и не активируется, если выполняется поиск информации одном из собственных доменов.

В результате заражения могут избежать веб-разработчики, обладающие достаточными знаниями для обнаружения и изучения вредоносной фоновой активности.

Avast приводит полный список расширений для Chrome и Edge, в которых подтверждена вредоносная активность:

Ян Рубин также отметил:

Наша гипотеза состоит в том, чтобы данные расширения либо изначально были созданы с вредоносным содержимым, либо автор ждал, пока расширения наберут определенную популярность, а затем выпустил обновление с вредоносным кодом.

Также возможен сценарий, когда автор продал оригинальные расширения злоумышленникам, которые добавили вредоносное содержимое.

Microsoft и Google в настоящее время изучают выводы исследователей Avast. Пока расширения не будут удалены, пользователи должны отключить или удалить расширения, а затем выполнить сканирование на наличие вредоносных программ в системе.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?