Вредоносные расширения Chrome, установленные 1,7 млн раз, обнаружены в интернет-магазине
Почти дюжина вредоносных расширений, которые были загружены в интернет-магазин Google Chrome 1,7 миллиона раз, могут отслеживать пользователей, красть активность браузера и перенаправлять их на потенциально небезопасные веб-адреса.
Большинство дополнений предоставляют заявленные функции и позиционируют себя как легитимные инструменты, такие как палитры цветов, VPN, усилители громкости и клавиатуры с эмодзи.
Исследователи из Koi Security , компании, предоставляющей платформу для самостоятельного создания программного обеспечения безопасности, обнаружили вредоносные расширения в Chrome Web Store и сообщили о них в Google.
Некоторые расширения больше не доступны, но многие из них продолжают быть доступными.
Два расширения Chrome с кодом отслеживания
Источник: BleepingComputer
Многие из этих расширений проверены, имеют сотни положительных отзывов и занимают видное место в Chrome Web Store, вводя пользователей в заблуждение относительно своей безопасности.
Пользователям следует проверить наличие следующих дополнений в браузере Chrome и как можно скорее удалить их:
- Палитра цветов, пипетка — Geco colorpick
- Клавиатура с эмодзи онлайн — скопируйте и вставьте свои эмодзи
- Бесплатный прогноз погоды
- Видеоконтроллер скорости — Видеоменеджер
- Разблокируйте Discord — VPN-прокси для разблокировки Discord в любом месте
- Темная тема — Dark Reader для Chrome
- Volume Max — Мощный усилитель звука
- Разблокируйте TikTok — удобный доступ с помощью прокси-сервера в один клик
- Разблокируйте YouTube VPN
- Разблокировать TikTok
- Погода
Один из них, «Volume Max — Ultimate Sound Booster», был также отмечен исследователями LayerX в прошлом месяце, которые предупредили о его потенциальной возможности шпионить за пользователями; однако на тот момент не удалось подтвердить какую-либо вредоносную активность.
Две команды по безопасности отметили опасное расширение Chrome.
Источник: BleepingComputer
По словам исследователей, вредоносная функциональность реализована в фоновом сервисе-работнике каждого расширения с использованием API расширений Chrome, регистрируя прослушиватель, который срабатывает каждый раз, когда пользователь переходит на новую веб-страницу.
Прослушиватель фиксирует URL-адрес посещенной страницы и передает информацию на удаленный сервер вместе с уникальным идентификатором отслеживания для каждого пользователя.
Сервер может ответить перенаправлением URL-адресов, перехватывая активность пользователя в браузере и потенциально перенаправляя его на небезопасные сайты, что может привести к кибератакам.
Хотя такая возможность существует, следует отметить, что в ходе тестирования Koi Security не обнаружила вредоносных перенаправлений.
Более того, вредоносный код отсутствовал в первоначальных версиях расширений, а был добавлен позднее с обновлениями.
Система автоматического обновления Google незаметно устанавливает новейшие версии для пользователей, не требуя какого-либо одобрения или взаимодействия с ними.
Учитывая, что некоторые из этих расширений были безопасными в течение многих лет, вполне возможно, что они были взломаны или скомпрометированы внешними злоумышленниками, внедрившими вредоносный код.
BleepingComputer связался с несколькими издателями, чтобы узнать о такой возможности, но пока ни от кого из них не получили ответа.
Перед публикацией этой статьи исследователи Koi Security обнаружили, что киберпреступники также внедрили вредоносные расширения в официальный магазин для Microsoft Edge, общее количество загрузок которого составляет 600 000.
«В совокупности эти восемнадцать расширений заразили более 2,3 миллиона пользователей обоих браузеров, что стало одной из крупнейших операций по взлому браузеров, которые мы когда-либо документировали», — говорят исследователи.
Они рекомендуют пользователям немедленно удалить все перечисленные расширения, очистить данные браузера, чтобы удалить все идентификаторы отслеживания, проверить систему на наличие вредоносных программ и отслеживать учетные записи на предмет подозрительной активности.
Обновление 7/10 — компания Google подтвердила BleepingComputer, что все расширения, обнаруженные Koi Security, теперь удалены из интернет-магазина Chrome.
About The Author
