По итогам двухмесячного расследования, проведенного специалистами из Cisco Duo Security, из Chrome Web Store были удалены более 500 вредоносных расширений, которые внедряли рекламу в браузеры ничего не подозревающих пользователей.

Вредоносный код расширений активировался лишь при определенных условиях и перенаправлял пользователей на определенные сайты. В некоторых случаях это могла быть партнерская ссылка на легитимный ресурс (такой как Macys, Dell или BestBuy), но в других случаях ссылка могла оказаться вредоносной, например, вела на фишинговую страницу или сайт, где предлагалась загрузка малвари.

Исследователи рассказывают, что эти расширения были частью более крупной кампании, активной на протяжении более двух лет. При этом предполагается, что хак-группа, стоящая за этой операцией, и вовсе может быть активна с начала 2010-х годов.

Вредоносные расширения были замечены в ходе рутинного поиска угроз: специалисты Cisco Duo Security обратили внимание на вредоносные сайты, имеющие общий шаблон URL. Используя сервис для анализа расширений CRXcavator, экспертам удалось выявить начальный кластер рекламных расширений, которые были объединены почти идентичной кодовой базой и использовали безликие названия, не говорящие практически ничего об их предназначении.

Заметив эти шаблоны, специалисты поняли, что имеют дело с масштабной вредоносной кампанией. Так, по данным Cisco Duo Security, общее количество установок первого набора этих расширений составило более 1,7 миллионов. Теперь, когда собственное расследование провела и сама компания Google, обнаружилось, что этому шаблону соответствуют в общей сложности более 500 расширений.

Неясно, сколько пользователей установили эти вредоносные расширения, но скорее всего, речь идет о нескольких миллионах пострадавших. Забанив расширения в официальном Chrome Web Store, инженеры Google также деактивировали их в браузерах пользователей, пометив как «вредоносные», чтобы пользователи удалили их и не активировали повторно.

Идентификаторы всех расширений, которые были частью этой кампании, можно найти в отчете Cisco Duo Security.

Оставить мнение