В Google Chrome Web Store нашли целые залежи вредоносных расширений для браузера Google Chrome. Они обманом попадали на компьютеры своих жертв, а потом похищали их учётные записи в социальной сети. Кроме того, эти расширения могли использоваться для проведения DDoS-атак, кражи паролей, добычи Bitcoin — и это ещё не полный список.
Вредоносные расширения обнаружил датский студент по имени Максим Кейа (Maxime Kjaer). Он заметил, что злоумышленники распространяют в Facebook ссылки на сомнительный сайт, проверяющий возраст посетителей. Метод проверки необычен: сайт требует установить специальное расширение для браузера. Впрочем, пользователи привыкли и не к такому и послушно делают, что велено.
Все расширения, распространявшиеся таким образом, имели похожие названия, состоящие из различных комбинаций слов «возраст», «проверка» и «вирусный» (aga, verify, viral), и были загружены на официальный сайт Google. Это помогало злоумышленникам убедить в безвредности затеи особенно осторожных пользователей.
После установки вредоносные расширения требовали максимальных прав и работали от момента запуска браузера и до его закрытия.
К проверке возраста эти программы не имели ни малейшего отношения. Расширения состояли из трёх файлов. Один из них представляет собой безвредный модуль для разбора URL, а функциональность сосредоточена в двух других: background.js и install.js. Один имитирует процесс проверки возраста, а другой при первой же возможности загружает с сервера злоумышленников ещё один скрипт.
Вся вредоносная функциональность скрывается именно в нём. Такая многоступенчатая схема установки понадобилась для того, чтобы обмануть автоматику Google. Она может заметить и остановить откровеную малварь, которая включена в состав самого расширения, но не следит за тем, что оно делает уже после установки.
Загруженный скрипт подключается к командному серверу и исполняет получаемые указания. В данный момент его основная функциональность заключается в захвате учётных записей Facebook. Кейа пишет, что после входа в социальную сеть расширение передало на командный сервер токен доступа к его аккаунту Facebook. Токен позволил софту злоумышленников действовать от его имени. Тот немедленно воспользовался такой возможностью и начал расставлять рекламные лайки.
По подсчётам Кейа, вредоносные аддоны установлены на 132265 компьютеров.