Эксперты Duo Security обнаружили в Chrome Web Store более 500 потенциально вредоносных расширений для Google Chrome. Расширения загружали историю просмотров веб-страниц незаметно для пользователей на сторонние серверы.
Изначально эксперты по кибербезопасности при помощи инструмента CRXcavator выявили 70 таких расширений с общим числом установок более 1,7 млн. Данный инструмент Duo Labs создала в начале прошлого года и уже неоднократно использовала при анализе. Информацию передали в Google и уже при совместной работе нашли и удалили еще 430 вредоносных расширений. Полный список представлен в публикации.
Расширения отслеживали историю просмотров пользователей, а затем загружали ее на серверы злоумышленников. В итоге информация использовалась в рекламных целях.
Практически все 500 плагинов работали схожим образом, и все они перенаправляли пользователей на сайты рекламодателей, причем, известных сетей и брендов Macy's, Dell и Best Buy. Однако в некоторых случаях происходило перенаправление на вредоносные и фишинговые сайты. Некоторые вредоносные расширения были с непосредственно связаны с программами Mapstrek (имеет возможность открывать буфер обмена) и ПО Arcadeyum (считывает связанные с терминальной службой ключи и получает доступ к потенциально важной информации из локальных браузеров).
Фото: duo.com
Пример команд, которые хост получает от сайтов, извлеченных из памяти на затронутом хосте.
Фото: duo.com
Плагины перенаправили браузеры на один из нескольких жестко заданных управляющих серверов, чтобы получить дополнительные инструкции, места для загрузки данных, списки каналов рекламы и домены для будущих перенаправлений. Зараженные браузеры затем загружали пользовательские данные, обновляли конфигурации плагинов и передавали поток перенаправлений сайтов.
Все сайты, кроме одного, используемые в схеме, ранее не классифицировались как вредоносные или мошеннические со стороны служб разведки угроз. Исключением был штат Миссури, в котором DTSINCE [.] Com, один из немногих жестко запрограммированных серверов управления, был указан как фишинговый сайт.
Google начала меры по борьбе с вредоносными расширениями для Chrome после обнаружения надстроек, нарушающих политику производителей браузеров. Компания заявила, что «обнаружила значительное увеличение количества мошеннических транзакций, связанных с платными расширениями Chrome, целью которых является использование пользователей». В Google предупредили, что для удаления навязчивых и злонамеренных расширений они вводят более строгие правила: «Разрешения вашего расширения должны быть как можно более узкими, а весь ваш код должен быть включен непосредственно в пакет расширения, чтобы минимизировать время проверки».
На днях Google решила удалить из интернет-магазина Chrome расширение диспетчера паролей Dashlane из-за проблем с «конфиденциальностью пользовательских данных и использованием разрешений». Расширения диспетчера позволяют управлять своими приложениями, темами, менять настройки конфиденциальности и так далее. При этом у Dashlane более 3 млн клиентов. Сейчас компании совместно решают проблему, а пока диспетчер вернули в магазин Chrome.
С марта Google перестанет принимать новые приложения Chrome Apps. Однако расширения Chrome для браузера продолжат работать.
См. также: «Браузер Chrome будет автоматически блокировать назойливую видеорекламу
Автор: maybe_elf