Специалисты из компании Awake Security рассказали, что им удалось обнаружить в Chrome Web Store 111 вредоносных расширений, занимавшихся сбором конфиденциальных данных пользователей. В общей сложности они были загружены 32 962 951 раз.
106 расширений уже были удалены из официального каталога и, следуя стандартной практике, инженеры Google отключили эти расширения в браузерах пользователей. То есть они по-прежнему установлены у пострадавших, однако отключены и помечены как «вредоносные». Полный список выявленных аналитиками расширений можно увидеть здесь.
Исследователи рассказывают, что малварь маскировалась под самые разные инструменты, от утилит для улучшения поиска, до конвертеров файлов и сканеров уязвимостей. На деле же все эти расширения содержали код, позволявший обмануть проверки безопасности Chrome Web Store, а затем делать скриншоты, читать данные в буфере обмена, собирать файлы cookie, а также следить за нажатиями клавиш (например, чтобы воровать пароли).
Исследователи считают, что все расширения были созданы одним и тем же человеком, хотя идентифицировать его пока не удалось. Дело в том, что все они отправляли пользовательские данные на домены, зарегистрированные через регистратора GalComm. Более того, как видно на иллюстрации выше, внешне многие расширения выглядели практически идентично, а также имели одинаковую кодовую базу (с незначительными изменениями). Также в некоторых случаях расширения имели одинаковые номера версий и одинаковые описания.
По данными исследователей, некоторые из расширений смогли проникнуть в сети финансовых и образовательных учреждений, компаний работающие в сферах медиа и развлечений, здравоохранения и фармацевтики, розничной торговли и ИТ, а также в госучреждения и предприятия нефтегазовой отрасли. По сути, расширения могли использоваться в качестве бэкдоров и инструментов для шпионажа, хотя прямых доказательств такого их применения нет.