Вредонос в расширении Chrome отправил данные более 1 млн пользователей на один IP-адрес

image

Теги: расширение, Chrome, вредоносное ПО

Расширение Webpage Screenshot содержало вредоносный код, отправлявший копии всех данных о браузерной активности пользователей на американский сервер.

Группа исследователей IT-сервиса ScrapeSentry обнаружила скрытый функционал в популярном бесплатном расширении для браузера Chrome - Webpage Screenshot. Предположительно, вредонос мог отправить данные о браузерной активности более 1,2 млн пользователей на один IP-адрес в США,  сообщается  в пресс-релизе компании, размещенном на портале SourceWire.

Webpage Screenshot было загружено из online-магазина Google Chrome Extension более 1,2 млн раз. Расширение позволяет делать снимки экрана и хранить их.

Как пояснил один из основателей ScrapeSentry Мартин Зеттерлунд (Martin Zetterlund), его компания занимается выявлением и блокировкой скреперов и ботов, нарушающих условия и правила пользования web-сайтов. В ходе одной из таких проверок специалисты зарегистрировали необычную конфигурацию входящего трафика на одном из ресурсов, что побудило их тщательно исследовать ситуацию.

При ближайшем рассмотрении оказалось, что расширение Webpage Screenshot содержало вредоносный код, отправлявший копии всех данных о браузерной активности пользователей на сервер, расположенный в США. Таким образом, вся важная информация, видимая в заглавии страницы, например, адрес электронной почты при работе с почтовым клиентом, могла быть отправлена на американский IP-адрес без ведома пользователя.

По словам аналитика ScrapeSentry Кристиана Мариолини (Cristian Mariolini), последствия загрузки вредоносного расширения могут быть довольно значительными. Хотя пока не известно, кто и с какой целью собирал информацию, специалисты считают, что ни к чему хорошему это не приведет. В любое время, подчеркивает Мариолини, в приложение может быть добавлен новый вредоносный функционал.

Результаты анализа исследователи ScrapeSentry передали специалистам Google. Расширение Webpage Screenshot уже изъято из магазина Chrome Extension, а его разработчик пока никак не прокомментировал ситуацию. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.