В начале августа 2017 года неизвестные хакеры открыли настоящую «охоту» на разработчиков расширений для Chrome. Ранее сообщалось, что от направленных фишинговых атак пострадали авторы расширений Copyfish и Web Developer, но вскоре выяснилось, что это не единичные случаи, и данная вредоносная кампания имеет внушительные масштабы.

Напомню, что взлом разработчиков Copyfish и Web Developer и перехват управления над их продуктами, не был простым совпадением. В обоих случаях разработчики стали жертвами фишинговых писем, якобы написанных от лица сотрудников Chrome Web Store. После того как они вводили свои учетные данные на сайте злоумышленников (который с трудом возможно отличить от настоящего), те использовали полученную информацию для перехвата контроля над расширениями, а после выпускали вредоносные обновления продуктов, которые, в частности, внедряли рекламу во все просматриваемые пользователями страницы.

Теперь специалист компании Proofpoint, известный под псевдонимом Kafeine, сообщил о компрометации еще шести популярных расширений:

Специалист пишет, что через взлом чужих расширений неизвестные хакеры суммарно скомпрометировали уже почти 5 млн пользователей. Изучив исходный код одного из «обновленных» злоумышленниками продуктов, исследователь разобрался, что именно делают вредоносные версии расширений. Так, после обновления расширение загружает файл JavaScript с домена, сгенерированного при помощи DGA, и собирает учетные данные Cloudflare из браузера пострадавшего. Затем расширение начинает подменять легитимную рекламу на объявления злоумышленников. Больше всего подобных замен происходит на сайтах для взрослых, при этом расширение подменяет баннеры 33 наиболее распространенных размеров ( 468×60, 728×90 и так далее). Кроме того, адварь может показывать пользователям различные всплывающие окна и перенаправлять их на другие ресурсы, которые являются частью «партнерских программ» преступников. Такой трафик тоже приносит прибыль атакующим.

Также Kafeine полагает, что неизвестные операторы данной кампании активны как минимум с июня 2016 года. Дело в том, что специалист сумел провести параллели и заметил сходство в инфраструктуре между недавними атаками и вредоносными расширениями для Chrome, обнаруженными в 2016 году. Исследователь считает, что злоумышленники прекрасно подготовлены и не понаслышке знают, как о разработке расширений, так и о том, как работает Chrome Web Store. По мнению эксперта, несмотря на огласку, группа вряд ли в скором времени прекратит атаки.



3 комментария

  1. Skybad

    16.08.2017 at 17:48

  2. john_

    20.08.2017 at 04:51

    И как теперь пользоваться расширениями? У кого сколько? У меня десятка 2 (половина выключены и отложены).
    Сотрудникам Гугл пора начинать проверять обновление или ввести доп механизм. Мол введите код с смски что это вы выложили обновление. Или просто присылать смс разработчику, что только что кто то выпустил обновление. Это не вы?

    • da411d

      25.08.2017 at 13:32

      хакеры моги взломать разработчика и подменить исходники.
      а разраб сам обновил

Оставить мнение