Плагин для Chrome устанавливает майнер и использует Gmail жертвы для регистрации доменов

image

Теги: Ldi, Coinhive, Chrome, Gmail, расширение, плагин

В настоящее время вредоносное расширение Ldi уже удалено из Chrome Web Store.

По мере роста популярности браузера Chrome растет и число вредоносных расширений для него. Злоумышленники используют «клоны» популярных плагинов для доставки рекламы, вредоносные расширения для подмены поисковых запросов или внедрения в браузер майнера криптовалюты Coinhive.

ИБ-эксперт Лоуренс Абрамс (Lawrence Abrams) обнаружил плагин Ldi, выводящий вредоносную активность расширений на новый уровень. Ldi не только устанавливает в браузере майнер Coinhive, но также использует учетную запись Gmail жертвы для регистрации бесплатных доменов с помощью сервиса Freenom.

Расширение распространялось через сайты с JavaScript-уведомлениями, призывающими установить плагин. Когда пользователь пытался закрыть уведомление, автоматически открывалась страница Ldi в Chrome Web Store. Описание продукта было малоинформативным. «Не знаете, совместима ли ваша домашняя страница с Mac? Узнайте с Ldi», - гласило описание плагина. В настоящее время вредоносное расширение уже удалено из Chrome Web Store.

Одними из первых в использовании Coinhive были уличены сайты The Pirate Bay и Showtime . В общей сложности тайным майнингом криптовалюты занимаются 220 сайтов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.