В начале августа 2017 года неизвестные хакеры открыли настоящую «охоту» на разработчиков расширений для Chrome. Ранее сообщалось, что от направленных фишинговых атак пострадали авторы расширений Copyfish и Web Developer, но вскоре выяснилось, что это не единичные случаи, и данная вредоносная кампания имеет внушительные масштабы.
Напомню, что взлом разработчиков Copyfish и Web Developer и перехват управления над их продуктами, не был простым совпадением. В обоих случаях разработчики стали жертвами фишинговых писем, якобы написанных от лица сотрудников Chrome Web Store. После того как они вводили свои учетные данные на сайте злоумышленников (который с трудом возможно отличить от настоящего), те использовали полученную информацию для перехвата контроля над расширениями, а после выпускали вредоносные обновления продуктов, которые, в частности, внедряли рекламу во все просматриваемые пользователями страницы.
Теперь специалист компании Proofpoint, известный под псевдонимом Kafeine, сообщил о компрометации еще шести популярных расширений:
- Chrometana1.3 [сообщение о взломе];
- Infinity New Tab12.3;
- Web Paint2.1 [сообщение о взломе];
- Social Fixer1.1 [сообщение о взломе];
- TouchVPN;
- Betternet VPN.
Специалист пишет, что через взлом чужих расширений неизвестные хакеры суммарно скомпрометировали уже почти 5 млн пользователей. Изучив исходный код одного из «обновленных» злоумышленниками продуктов, исследователь разобрался, что именно делают вредоносные версии расширений. Так, после обновления расширение загружает файл JavaScript с домена, сгенерированного при помощи DGA, и собирает учетные данные Cloudflare из браузера пострадавшего. Затем расширение начинает подменять легитимную рекламу на объявления злоумышленников. Больше всего подобных замен происходит на сайтах для взрослых, при этом расширение подменяет баннеры 33 наиболее распространенных размеров ( 468x60, 728x90 и так далее). Кроме того, адварь может показывать пользователям различные всплывающие окна и перенаправлять их на другие ресурсы, которые являются частью «партнерских программ» преступников. Такой трафик тоже приносит прибыль атакующим.
Также Kafeine полагает, что неизвестные операторы данной кампании активны как минимум с июня 2016 года. Дело в том, что специалист сумел провести параллели и заметил сходство в инфраструктуре между недавними атаками и вредоносными расширениями для Chrome, обнаруженными в 2016 году. Исследователь считает, что злоумышленники прекрасно подготовлены и не понаслышке знают, как о разработке расширений, так и о том, как работает Chrome Web Store. По мнению эксперта, несмотря на огласку, группа вряд ли в скором времени прекратит атаки.