Специалисты Zimperium обнаружили вредоносную кампанию ABCsoup, в рамках которой распространяются более 350 расширений для Google Chrome, Opera и Mozilla Firefox, зараженные рекламной малварью.
Исследователи рассказывают, что все расширения маскировались под официальную версию Google Translate и были нацелены на российских пользователей.
Точный способ распространения малвари выявить не удалось, но фейковые расширения недоступны в официальных магазинах браузеров. Судя по всему, они распространяются с помощью социальной инженерии, через исполняемые файлы Windows, при этом обходя большинство защитных решений.
Интересно, что малварь присваивает себе то же ID расширения, что и настоящая версия Google Translate — aapbdbdomjkkjkaonfhkkikfgjllcleb. Очевидно, таким образом хакеры стараются убедить жертв в том, что те установили настоящее расширение. Если же у целевого пользователя уже установлено расширение Google Translate, малварь заменяет исходную версию вредоносным вариантом с более высоким номером версии (например, 30.2.5 против с 2.0.10).
Все обнаруженные в рамках кампании ABCsoup расширения предназначены для взаимодействия со всплывающими окнами, сбора личной информации (для доставки таргетированной рекламы), фингерпринтинга пользователей и внедрения вредоносного JavaScript, который в дальнейшем может действовать как шпионское ПО (перехватывать нажатия клавиш и отслеживать активность браузера). Инжекты JavaScript осуществляются на такие сайты, как YouTube, Facebook, ASKfm, Mail.ru, «Яндекс», «Рамблер», Avito, Brainly Znanija, Kismia и rollApp.
При этом, по словам исследователей, еще одной важной целью ABCsoup является сбор данных о пользователях «Одноклассников» и «ВКонтакте». Расширения ищут социальные сети среди прочих сайтов, открытых в браузере, а обнаружив, собирают такие данные, как имена, фамилии, даты рождения и так далее, затем передавая их на удаленный сервер.
Zimperium приписывает эту кампанию «хорошо организованной группировке восточноевропейского и российского происхождения», которая ориентирована на российских пользователей.
«Это вредоносное ПО специально создано для атак на пользователей любого типа и служит для получения информации. Внедренные скрипты могут легко использоваться для более вредоносного поведения, включая перехват нажатий клавиш и эксфильтрацию данных», — предупредили эксперты.
