Security Week 2234: вредоносные расширения для браузеров

Security Week 2234: вредоносные расширения для браузеров

На прошлой неделе эксперты «Лаборатории Касперского» выпустили отчет, в котором проанализировали наиболее часто встречающиеся вредоносные разрешения для браузеров. Примеры вредоносных расширений предваряются общей статистикой, согласно которой в 2021 году количество подобных атак на пользователей уменьшилось вдвое по сравнению с 2020-м. В любом случае это миллионы попыток установить вредоносную программу: 3,6 миллиона в 2020 году и 1,8 миллиона в 2021-м. За первую половину 2022 года зафиксировано 1,3 миллиона атак.

В подавляющем большинстве случаев вредоносные расширения добавляют на веб-страницы и в результаты поиска непрошеную рекламу, причем часть вредоносных программ просто подменяет используемую в браузере по умолчанию поисковую систему на другую, начиненную сверху донизу реферальными ссылками. Но у подобных атак могут быть и более серьезные последствия, включая кражу учетных записей в социальных сетях.

Расширения для браузера с вредоносной нагрузкой, к сожалению, регулярно всплывают в официальных каталогах. Так, в 2020 году компания Google удалила больше сотни расширений из каталога для браузера Chrome. В общей сложности они были скачаны 32 миллиона раз. Зафиксированы случаи кражи учетных записей разработчиков или перепродажа расширений: оба варианта приводят к тому, что у ранее установленного и доверенного расширения появляется нежелательная функциональность. Наконец, расширения иногда устанавливаются вредоносными программами — их часто можно поймать в поисках «активаторов Windows», читов для игр и подобного сомнительного ПО.

Самые распространенные вредоносные расширения входят в семейство Websearch. Они, как показано на скриншоте выше, подменяют домашнюю страницу браузера, подставляя в нее реферальные ссылки на популярные интернет-магазины, соцсети и другие ресурсы. Меняется и поисковая система, установленная по умолчанию: в результатах поиска также появляются реферальные ссылки под видом обычной рекламы. Наиболее часто вредоносные программы Websearch маскируются под инструменты для просмотра и редактирования PDF-файлов.

В отличие от Websearch, программы семейства DealPly устанавливаются вредоносными программами. Они также анализируют все поисковые запросы пользователя и подставляют реферальные ссылки на наиболее релевантные (например, «купить iphone» или «купить машину»). Расширения Addscript притворяются прокси-серверами или утилитами для загрузки музыки и видео из соцсетей. При запуске они подключаются к командному серверу и загружают вредоносный скрипт. Он, в свою очередь, используется, например, для абьюза партнерских программ интернет-магазинов: на компьютер пользователя устанавливаются cookie, а в случае покупки злоумышленник получает комиссию.

Расширение FB Stealer устанавливается в браузер под видом переводчика от Google, как показано на верхнем скриншоте в статье. Устанавливается оно троянской программой, которая, в свою очередь, может быть установлена под видом «крякера» коммерческого ПО. Помимо стандартной подмены поисковой системы, вредоносная программа крадет сессию в соцсети. Кража аккаунта сопровождается массовой рассылкой по контактам в соцсети с просьбами «срочно одолжить денег» и подобным мошенничеством.

Что еще произошло:

Еще одна презентация с DEF CON 30 / Black Hat 2022: известный whitehat-хакер Orange Tsai опубликовал краткий обзор трех уязвимостей в интернет-сервере Microsoft IIS. Все три уязвимости относятся к алгоритму работы с хэш-таблицами и, в зависимости от реализации, позволяют провести DoS-атаку или даже обойти систему авторизации на сервере.

На прошлой неделе мы писали о неуспешной попытке фишинга, проведенной в отношении сотрудников компании Cloudflare. Увы, точно такая же атака на компанию Twilio оказалась успешной. Twilio предоставляет сервис рассылки SMS-сообщений с одноразовыми кодами и подобным для других компаний. Издание Vice пишет о том, как взлом этого провайдера привел к краже (точнее, к добавлению еще одного авторизованного устройства) 1900 аккаунтов в мессенджере Signal: злоумышленники смогли перехватить коды авторизации, пересылаемые через Twilio. К счастью, принципы работы Signal не позволяют в таком сценарии получить доступ к истории сообщений. В качестве реакции на инцидент Signal рекомендует усложнить процесс регистрации новых устройств на тот же номер телефона: в таком случае вместе с одноразовым кодом из SMS также потребуется ввести пользовательский пароль.

Свежий набор патчей от Apple закрывает две уязвимости zero-day, обнаруженные в ядре iOS/macOS, а также в коде браузерного движка WebKit. Еще одна уязвимость нулевого дня закрыта в браузере Google Chrome.

websearch dealply addscript fb stealer
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!