Специалисты сайта Bleeping Computer и пользователи популярного расширения Particle для Chrome обратили внимание на странное поведение некогда удобного инструмента.

Расширение Particle (ранее известное как YouTube+) представляло собой простой инструмент для смены UI и оптимизации работы с некоторыми стандартными функциями YouTube. Но, как это часто случается, со временем приоритеты разработчика поменялись, и в мае 2017 года он сообщил, что грядущие изменения YouTube UI представляют слишком большую проблему, поэтому он собирается оставить развитие Particle ради нового проекта Iridium.

Где-то между маем и серединой июля 2017 года у расширения сменился владелец, так как к оригинальному создателю Particle обратились представители некой компании, приложившие выкупить у него заброшенный инструмент. Автор расширения признается, что не смог отказаться от щедрого предложения. Теперь он пишет, что перед совершением сделки проверил будущего покупателя и убедился, что никаких «тревожных сигналов» не обнаружено. К сожалению, он также подписал соглашение о неразглашении информации, которое теперь запрещает ему раскрывать имя компании, купившей Particle.

11 июля 2017 года в Chrome Web Store появилась обновленная версия Particle, и пользователи сразу заметили, что теперь расширение запрашивает новые, крайне подозрительные права: чтение и изменение информации на любых сайтах, а также управление другими приложениями, расширениями и темами. Лишь после этого автор оригинального Particle признался, что расширение сменило хозяев.

Изучая странное поведение обновленной версии, пользователи, исследователи Bleeping Computer и специалисты Emsisoft, которых попросили посмотреть, в чем дело, пришли к одинаковым выводам.  Как выяснилось, в новой версии Particle появилась директория algoad, и расширение «научилось» осуществлять инжекты в код таких сайтов, как Google, Yahoo, Bing, Amazon, eBay, Booking.com и так далее.

После смены владельца, расширение Particle числилось в официальном каталоге, как принадлежащее пользователю roberthawkinsg. У него было еще два продукта, расширения Typewriter Sounds и Twitch Mini Player. Изучив отзывы о них, исследователи поняли, что эти расширения, по сути, являются adware и демонстрируют аналогичное вредоносное поведение.

У Particle насчитывалось более 31 000 пользователей, у Typewriter Sounds почти 40 000 пользователей, а Twitch Mini Player набрал почти 20 000 установок. В настоящее время все три расширения удалены из Chrome Web Store.

Разработчик оригинальной версии Particle извинился перед пользователями. Теперь он советует пострадавшим загружать Userscript-версию инструмента или дождаться релиза расширения Iridium.



4 комментария

  1. Il

    17.07.2017 at 21:42

    То есть оно просто показывало рекламу? Тогда не вредоносное, а рекламное, хотя конечно никто не мешает автором внедрять вредоносный код

    • Мария Нефёдова

      Мария Нефёдова

      17.07.2017 at 22:29

      Adware все же считают вредоносным ПО. Плюс, да, операторы могли со временем придумать что-то похуже.

Оставить мнение