Более 500 вредоносных расширений для Chrome собирали данные пользователей

По результатам двухмесячного анализа, проведенного независимым экспертом Джамилией Кайя (Jamila Kaya) и специалистами из компании Cisco Duo Security, из Chrome Web Store было удалено более 500 вредоносных расширений, жертвами которых стало несколько миллионов пользователей.

Злоумышленники были активны в течение по крайней мере восьми месяцев, начиная с января 2019 года, а в период с марта по июнь 2019 года выпустили десятки новых вариантов расширений. Вполне возможно, что преступники начали действовать намного раньше, так как некоторые вредоносные программы и связанные домены были зарегистрированы в 2018 и 2017 годах.

С помощью сервиса для анализа расширений CRXcavator специалистам удалось выявить 70 рекламных расширений с общим числом загрузок более 1,7 млн. Плагины были объединены почти идентичной кодовой базой и использовали непримечательные названия. Вредоносный код внедрял рекламу в браузеры пользователей, а также перенаправлял жертв на фишинговые сайты. Исследователи проинформировали Google о своих находках, и компания провела собственное расследование, в ходе которого обнаружила еще более 420 подобных программ.

Во всех расширениях применялась схожая техника для маскировки вредоносной активности и избежания механизмов верификации программ в Chrome Web Store. Код практически не отличался на уровне исходных текстов, за исключением имен функций, которые в каждом расширении были уникальны. Передача вредоносных команд осуществлялась с С&C-серверов.

В числе выполняемых расширениями действий упоминается загрузка на С&C-сервер конфиденциальных данных пользователей, перенаправление на вредоносные сайты и установка вредоносных приложений под видом антивирусного ПО или обновления браузера.