Вредоносные дополнения для Chrome и Edge занимаются кражей пользовательских данных и перенаправлением пользователей на мошеннические ресурсы.
Вредоносные расширения, обнаруженные лабораторией Avast Threat Intelligence, выглядят как вспомогательные надстройки для Instagram, Facebook, Vimeo и других популярных онлайн-платформ.
Вредоносная активность началась по меньшей мере 2 года назад
Avast обнаружил расширения в ноябре 2020 года, но, по оценкам лаборатории, угрозы могли использоваться в злонамеренных целях в течение нескольких лет. Некоторые обзорщики расширений из Интернет-магазина Chrome сообщали о случаях подмены ссылок еще в декабре 2018 года.
Также исследователям Avast удалось обнаружить вредоносные модули, которые отвечают за загрузку дополнительных угроз в целевые системы.
Исследователи сообщают:
Каждый раз, когда пользователь нажимает на ссылку, расширения отправляют информацию о клике на подконтрольный злоумышленнику командный сервер. Тот в свою очередь может отправить команду для перенаправления жертвы с целевого веб-сайта на новый захваченный URL до того, как перенаправить ее на желаемый веб-ресурс.
Злоумышленники собирают данные о дате рождения пользователей, адресах электронной почты и информацию об устройстве, включая время первого входа в систему, время последнего входа в систему, имя устройства, операционная система, используемый браузер, версия браузера и даже IP-адрес (эти данные могут использоваться для поиска примерного географического местоположения пользователя).
Конечная цель киберпреступников заключается в монетизации пользовательского трафика путем автоматического перенаправления на сторонние домены.
Кроме того, эти расширения также могут перенаправлять пользователей зараженных систем на сайты, заполненные рекламой или используемые в качестве фишинговых целевых страниц.
Трудно обнаружить вредоносную активность
Исследователь вредоносного ПО из Avast Ян Рубин (Jan Rubin) пояснил:
Бэкдоры в расширениях очень хорошо скрыты, и расширения начинают проявлять вредоносное поведение только через несколько дней после установки, что затрудняет обнаружение угрозы любым антивирусным ПО.
Вредоносный код скрывается внутри расширений, и это значительно усложняет задачу обнаружения как исследователям, так и зараженным пользователям.
В качестве одной из тактик обхода обнаружения, вредоносная программа отслеживает, что ищет жертва и не активируется, если выполняется поиск информации одном из собственных доменов.
В результате заражения могут избежать веб-разработчики, обладающие достаточными знаниями для обнаружения и изучения вредоносной фоновой активности.
Avast приводит полный список расширений для Chrome и Edge, в которых подтверждена вредоносная активность:
- Direct Message for Instagram
- Direct Message for Instagram™
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram (1,000,000+ пользователей)
- Instagram Download Video & Image
- App Phone for Instagram
- App Phone for Instagram
- Stories for Instagram
- Universal Video Downloader
- Universal Video Downloader
- Video Downloader for FaceBook™
- Video Downloader for FaceBook™
- Vimeo™ Video Downloader (500,000+ пользователей)
- Vimeo™ Video Downloader
- Volume Controller
- Zoomer for Instagram and FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Upload photo to Instagram™
- Spotify Music Downloader
- Stories for Instagram
- Upload photo to Instagram™
- Pretty Kitty, The Cat Pet
- Video Downloader for YouTube
- SoundCloud Music Downloader
- The New York Times News
- Instagram App with Direct Message DM
Ян Рубин также отметил:
Наша гипотеза состоит в том, чтобы данные расширения либо изначально были созданы с вредоносным содержимым, либо автор ждал, пока расширения наберут определенную популярность, а затем выпустил обновление с вредоносным кодом.
Также возможен сценарий, когда автор продал оригинальные расширения злоумышленникам, которые добавили вредоносное содержимое.
Microsoft и Google в настоящее время изучают выводы исследователей Avast. Пока расширения не будут удалены, пользователи должны отключить или удалить расширения, а затем выполнить сканирование на наличие вредоносных программ в системе.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО