Угрозы в расширениях

Проблема может затронуть около 3 миллионов человек по всему миру

Компания Avast  обнаружила вредоносное ПО, скрытое как минимум в 28 сторонних расширениях для Google Chrome и Microsoft Edge.

Расширения связаны с несколькими очень популярными в мире платформами. Вредоносное ПО может перенаправлять трафик пользователей на рекламные или фишинговые сайты, красть личные данные, например, даты рождения, адреса электронной почты и информацию об активных устройствах.

Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могут пострадать около трех миллионов человек.

Найденные расширения помогают загружать видео с популярных платформ. Для браузера Google Chrome это Video Downloader для Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock. Еще в списке есть несколько расширений для браузера Microsoft Edge. Исследователи идентифицировали вредоносный код в расширениях на основе Javascript, который позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя.

Пользователи также сообщали, что эти расширения управляют их работой в сети и перенаправляют их на другие сайты. Каждый раз при нажатии на ссылку, расширения отправляют информацию о щелчке на командный сервер злоумышленника. Далее хакер может дополнительно отправить команду для перенаправления с реальной ссылки на новый захваченный URL-адрес, и только потом отправляет жертву на тот сайт, на который она изначально планировала зайти.

Эта ставит под угрозу конфиденциальность пользователя, поскольку на эти сторонние сайты-посредники отправляется журнал всех кликов. Хакеры также извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса:  они могут быть использованы, чтобы найти примерное географическое местоположение жертвы.

Исследователи Avast считают, что целью этого является монетизация самого трафика. За каждое перенаправление на сторонний домен киберпреступники получали платеж. Тем не менее, расширение также может перенаправлять пользователей на рекламные или фишинговые сайты.

«Мы предполагаем, что либо расширения были специально созданы с использованием встроенного вредоносного ПО, либо авторы дождались, пока расширения станут популярными, а затем выпустили обновление, содержащее вредоносное ПО. Также возможно, что разработчики продали оригинальные расширения кому-то еще после их создания,

а затем покупатель создал вредоносное ПО», –– отмечает Ян Рубин, исследователь вредоносного ПО в Avast.

Команда Avast Threat Intelligence начала исследовать эту угрозу в ноябре 2020 года, но считает, что она могла существовать годами –– просто никто этого не замечал. В магазине Chrome есть обзоры, в которых упоминается перехват ссылок еще в декабре 2018 года. «Бэкдоры расширений хорошо скрыты, и расширения начинают проявлять вредоносную активность только через несколько дней после установки: это усложняет задачу для любого решения безопасности», –– добавляет Ян Рубин.

Вредоносное ПО было довольно сложно обнаружить, поскольку оно способно «скрываться». «Вирус определяет, ищет ли пользователь в Google один из его скрытых доменов или, например, является ли пользователь опытным веб-разработчиком. Если это так, то такое ПО не будет выполнять никаких вредоносных действий в браузере, — рассказывает Ян Войтешек, исследователь вредоносных программ Avast. — Это позволяет избежать заражения пользователей, более опытных в веб-разработке, поскольку они могут распознать, что именно расширения делают в фоновом режиме».

На данный момент зараженные расширения все еще доступны для загрузки. Avast связался с командами Microsoft и Google Chrome и сообщил о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему.

Сейчас Avast рекомендует пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем просканировать ПК и удалить вредоносное ПО.

Список обнаруженных расширений:

Direct Message for Instagram

Direct Message for Instagram™

DM for Instagram

Invisible mode for Instagram Direct Message

Downloader for Instagram

 

Instagram Download Video & Image

App Phone for Instagram

App Phone for Instagram

Stories for Instagram

Universal Video Downloader

Universal Video Downloader

Video Downloader for FaceBook™

Video Downloader for FaceBook™

Vimeo™ Video Downloader

Vimeo™ Video Downloader

Volume Controller

Zoomer for Instagram and FaceBook

VK UnBlock. Works fast.

Odnoklassniki UnBlock. Works quickly.

Upload photo to Instagram™

Spotify Music Downloader

Stories for Instagram

Upload photo to Instagram™

Pretty Kitty, The Cat Pet

Video Downloader for YouTube

SoundCloud Music Downloader

The New York Times News

Instagram App with Direct Message DM

 

Похожие записи