Эксперты Avast обнаружили малварь, скрытую как минимум в 28 сторонних расширениях для Google Chrome и Microsoft Edge. Все эти расширения были связаны с популярными платформами: для браузера Google Chrome, это Video Downloader для Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, а также в списке специалистов есть несколько расширений для браузера Microsoft Edge. Полный список выглядит следующим образом:

·         Direct Message for Instagram
·         Direct Message for Instagram™
·         DM for Instagram
·         Invisible mode for Instagram Direct Message
·         Downloader for Instagram
·         Instagram Download Video & Image
·         App Phone for Instagram
·         App Phone for Instagram
·         Stories for Instagram
·         Universal Video Downloader
·         Universal Video Downloader
·         Video Downloader for FaceBook™
·         Video Downloader for FaceBook™
·         Vimeo™ Video Downloader
·         Vimeo™ Video Downloader
·         Volume Controller
·         Zoomer for Instagram and FaceBook
·         VK UnBlock. Works fast.
·         Odnoklassniki UnBlock. Works quickly.
·         Upload photo to Instagram™
·         Spotify Music Downloader
·         Stories for Instagram
·         Upload photo to Instagram™
·         Pretty Kitty, The Cat Pet
·         Video Downloader for YouTube
·         SoundCloud Music Downloader
·         The New York Times News
·         Instagram App with Direct Message DM

 

Найденная малварь позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя, может перенаправлять трафик жертв на рекламные или фишинговые сайты, похищать личные данные (например, даты рождения, адреса электронной почты) и информацию об активных устройствах.

Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могли пострадать примерно 3 000 000 человек.

Пользователи также жалуются, что эти расширения мешают их работе в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о об этом действии на командный сервер хакеров. Далее злоумышленник может отдать команду для перенаправления человека с реальной ссылки на новый, вредоносный URL-адрес, и только потом отправляет на тот сайт, на который он изначально планировал посетить.

Все это ставит под угрозу конфиденциальность пользователей, поскольку на сторонние сайты-посредники передается журнал всех кликов. Также хакеры извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (могут использоваться для определения географического местоположения жертвы).

Исследователи Avast считают, что целью этой кампании в первую очередь является монетизация трафика: за каждое перенаправление на сторонний домен киберпреступники получают платеж. Также расширения могут перенаправлять пользователей на рекламные или фишинговые сайты.

«Мы предполагаем, что либо эти расширения были специально созданы с использованием встроенного вредоносного ПО, либо авторы дождались, пока расширения станут популярными, а затем выпустили обновления, содержащее вредоносное ПО. Также возможно, что разработчики продали оригинальные расширения, а покупатель внедрил в них вредоносное ПО», –– отмечает Ян Рубин, исследователь вредоносного ПО в Avast.

Команда Avast Threat Intelligence начала исследовать эту угрозу в ноябре 2020 года, но считает, что она могла существовать годами, просто никто ее не замечал. В магазине Chrome есть обзоры пользователей, в которых упоминается перехват ссылок, и датированы они декабрем 2018 года.

«Бэкдоры в расширениях хорошо скрыты, и расширения начинают проявлять вредоносную активность только через несколько дней после установки: это усложняет задачу для любого решения безопасности», — добавляет Ян Рубин.

На данный момент все зараженные расширения все еще доступны для загрузки. Avast связался с командами Microsoft и Google Chrome и сообщил о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему. Пока же Avast рекомендует пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем просканировать ПК и удалить вредоносное ПО, если таковое обнаружится.

Оставить мнение