Эксперты Avast обнаружили малварь, скрытую как минимум в 28 сторонних расширениях для Google Chrome и Microsoft Edge. Все эти расширения были связаны с популярными платформами: для браузера Google Chrome, это Video Downloader для Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, а также в списке специалистов есть несколько расширений для браузера Microsoft Edge. Полный список выглядит следующим образом:
Найденная малварь позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя, может перенаправлять трафик жертв на рекламные или фишинговые сайты, похищать личные данные (например, даты рождения, адреса электронной почты) и информацию об активных устройствах.
Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могли пострадать примерно 3 000 000 человек.
Пользователи также жалуются, что эти расширения мешают их работе в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о об этом действии на командный сервер хакеров. Далее злоумышленник может отдать команду для перенаправления человека с реальной ссылки на новый, вредоносный URL-адрес, и только потом отправляет на тот сайт, на который он изначально планировал посетить.
Все это ставит под угрозу конфиденциальность пользователей, поскольку на сторонние сайты-посредники передается журнал всех кликов. Также хакеры извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (могут использоваться для определения географического местоположения жертвы).
Исследователи Avast считают, что целью этой кампании в первую очередь является монетизация трафика: за каждое перенаправление на сторонний домен киберпреступники получают платеж. Также расширения могут перенаправлять пользователей на рекламные или фишинговые сайты.
«Мы предполагаем, что либо эти расширения были специально созданы с использованием встроенного вредоносного ПО, либо авторы дождались, пока расширения станут популярными, а затем выпустили обновления, содержащее вредоносное ПО. Также возможно, что разработчики продали оригинальные расширения, а покупатель внедрил в них вредоносное ПО», –– отмечает Ян Рубин, исследователь вредоносного ПО в Avast.
Команда Avast Threat Intelligence начала исследовать эту угрозу в ноябре 2020 года, но считает, что она могла существовать годами, просто никто ее не замечал. В магазине Chrome есть обзоры пользователей, в которых упоминается перехват ссылок, и датированы они декабрем 2018 года.
«Бэкдоры в расширениях хорошо скрыты, и расширения начинают проявлять вредоносную активность только через несколько дней после установки: это усложняет задачу для любого решения безопасности», — добавляет Ян Рубин.
На данный момент все зараженные расширения все еще доступны для загрузки. Avast связался с командами Microsoft и Google Chrome и сообщил о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему. Пока же Avast рекомендует пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем просканировать ПК и удалить вредоносное ПО, если таковое обнаружится.
