Эксперты компании Malwarebytes выявили в магазине Google Chrome Web Store вредоносное расширение iCalc. Аддон не только скрытно создавал прокси и перенаправлял весь пользовательский трафик на сервер злоумышленников, расширение также демонстрировало раздражающую навязчивость, требуя установки.
Несмотря на название, расширение iCalc – это совсем не калькулятор, под который оно маскируется. Вместо этого, будучи установлен, аддон создает прокси и прогоняет весь трафик жертвы через домен bestex9.xyz. Очевидно, злоумышленники продавали собранные данные о жертвах рекламщикам. Малварь также умеет связываться с командным сервером, расположенным на этом же домене, получая от него дополнительные команды через равные промежутки времени.
Однако больший интерес у экспертов вызвал процесс установки расширения. Специалисты Malwarebytes пишут, что расширения для браузера Chrome во многом похожи на приложения для Android, по крайней мере, похож процесс инсталляции. Как и в случае с мобильной ОС, пользователь должен вручную одобрить установку аддона, ознакомившись с разрешениями, которые тот запрашивает, и принять их. Так как многие пользователи не до конца понимают, чего в таком случае от них хочет программа, мошенники активно применяют для распространения своих поделок различные агрессивные техники и социальную инженерию.
Впервые эксперты столкнулись с iCalc случайно, напоровшись на вредоносную рекламу, распространявшую аддон. Клик по вредоносному баннеру приводил жертву на сайт злоумышленников, покинуть который было не так-то просто. Страница обрушивала на посетителя шквал popup-окон, предлагающих установить нехорошее расширение. Когда пользователь закрывал одно окно, на его месте тут же возникало новое. Более того, если жертва пыталась подвести курсор мыши к строке URL или кнопке закрытия браузера, появлялось еще одно диалоговое окно, гораздо большего размера. В качестве «вишенки на торте» вредоносный ресурс все это время проигрывал на фоне раздражающее аудиосообщение: «Нажмите на кнопку “Добавить”, чтобы установить расширение».
Исследователи опубликовали видео борьбы с вредоносным сайтом.
Покинуть такую страницу можно лишь завершив работу браузера через диспетчер задач (что и было сделано в конце приведенного ролика). К сожалению, рядовой пользователь скорее нажмет кнопку “Добавить” и установит малварь, чем додумается до такого выхода. Его не смутит даже тот факт, что расширение честно сообщает о своем намерении просматривать и изменять всю информацию на посещенных сайтах.
Уже позже специалисты Malwarebytes обнаружили, что iCalc представлен в официальном Web Store. Хотя у «калькулятора» не было ни отзывов, ни оценок, его все же успели скачать более 1000 человек. На данный момент Google уже удалила опасный аддон из магазина.
Вскоре после исключения iCalc из Web Store, исследователи заметили, что теперь при помощи вредоносной рекламы продвигают уже другое расширение для Chrome, ориентированное на российских пользователей. Однако эта кампания продлилась совсем недолго: ссылка быстро сменилась редиректом на социальную сеть.
Исследователи в очередной раз напоминают: не стоит устанавливать аддоны, которые запрашивают подозрительно много прав. Также они рекомендуют регулярно проверять и чистить список расширений Chrome, набрав в строке адреса chrome://extensions.