- 9,321
- 18
- 8 Ноя 2022
Программы набрали уже более 1,5 миллиона скачиваний в Chrome Web Store.
Эксперты из компании Для просмотра ссылки Войдиили Зарегистрируйся обнаружили три вредоносных расширения для браузера Google Chrome , маскирующихся под сервисы виртуальных частных сетей ( VPN ). Эти программы, которые использовались для перехвата сессий, взлома систем кэшбэка и кражи данных, были загружены из официального магазина более чем 1,5 миллиона раз.
Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения.
Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).
Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.
Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.
Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.
Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.
В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.
Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.
Этот инцидент обращает внимание специалистов на серьезные проблемы безопасности, связанные с расширениями для веб-браузеров. Многие из этих программ хорошо замаскированы, что значительно усложняет их обнаружение. Пользователям рекомендуют регулярно следить за отзывами в Chrome Web Store, чтобы быть в курсе любых сообщений о подозрительной или вредоносной активности.
Эксперты из компании Для просмотра ссылки Войди
Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения.
Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).
Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.
Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.
Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.
Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.
В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.
Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.
Этот инцидент обращает внимание специалистов на серьезные проблемы безопасности, связанные с расширениями для веб-браузеров. Многие из этих программ хорошо замаскированы, что значительно усложняет их обнаружение. Пользователям рекомендуют регулярно следить за отзывами в Chrome Web Store, чтобы быть в курсе любых сообщений о подозрительной или вредоносной активности.
- Источник новости
- www.securitylab.ru