Эксперты Avast обнаружили малварь, скрытую как минимум в 28 сторонних расширениях для Google Chrome и Microsoft Edge. Все эти расширения были связаны с популярными платформами: для браузера Google Chrome, это Video Downloader для Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, а также в списке специалистов есть несколько расширений для браузера Microsoft Edge. Полный список выглядит следующим образом:
Найденная малварь позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя, может перенаправлять трафик жертв на рекламные или фишинговые сайты, похищать личные данные (например, даты рождения, адреса электронной почты) и информацию об активных устройствах.
Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могли пострадать примерно 3 000 000 человек.
Пользователи также жалуются, что эти расширения мешают их работе в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о об этом действии на командный сервер хакеров. Далее злоумышленник может отдать команду для перенаправления человека с реальной ссылки на новый, вредоносный URL-адрес, и только потом отправляет на тот сайт, на который он изначально планировал посетить.
Все это ставит под угрозу конфиденциальность пользователей, поскольку на сторонние сайты-посредники передается журнал всех кликов. Также хакеры извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (могут использоваться для определения географического местоположения жертвы).
Исследователи Avast считают, что целью этой кампании в первую очередь является монетизация трафика: за каждое перенаправление на сторонний домен киберпреступники получают платеж. Также расширения могут перенаправлять пользователей на рекламные или фишинговые сайты.
Хакер.ру
| · Direct Message for Instagram |
| · Direct Message for Instagram™ |
| · DM for Instagram |
| · Invisible mode for Instagram Direct Message |
| · Downloader for Instagram |
| · Instagram Download Video & Image |
| · App Phone for Instagram |
| · App Phone for Instagram |
| · Stories for Instagram |
| · Universal Video Downloader |
| · Universal Video Downloader |
| · Video Downloader for FaceBook™ |
| · Video Downloader for FaceBook™ |
| · Vimeo™ Video Downloader |
| · Vimeo™ Video Downloader |
| · Volume Controller |
| · Zoomer for Instagram and FaceBook |
| · VK UnBlock. Works fast. |
| · Odnoklassniki UnBlock. Works quickly. |
| · Upload photo to Instagram™ |
| · Spotify Music Downloader |
| · Stories for Instagram |
| · Upload photo to Instagram™ |
| · Pretty Kitty, The Cat Pet |
| · Video Downloader for YouTube |
| · SoundCloud Music Downloader |
| · The New York Times News |
| · Instagram App with Direct Message DM |
Найденная малварь позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя, может перенаправлять трафик жертв на рекламные или фишинговые сайты, похищать личные данные (например, даты рождения, адреса электронной почты) и информацию об активных устройствах.
Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могли пострадать примерно 3 000 000 человек.
Пользователи также жалуются, что эти расширения мешают их работе в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о об этом действии на командный сервер хакеров. Далее злоумышленник может отдать команду для перенаправления человека с реальной ссылки на новый, вредоносный URL-адрес, и только потом отправляет на тот сайт, на который он изначально планировал посетить.
Все это ставит под угрозу конфиденциальность пользователей, поскольку на сторонние сайты-посредники передается журнал всех кликов. Также хакеры извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (могут использоваться для определения географического местоположения жертвы).
Исследователи Avast считают, что целью этой кампании в первую очередь является монетизация трафика: за каждое перенаправление на сторонний домен киберпреступники получают платеж. Также расширения могут перенаправлять пользователей на рекламные или фишинговые сайты.
Команда Avast Threat Intelligence начала исследовать эту угрозу в ноябре 2020 года, но считает, что она могла существовать годами, просто никто ее не замечал. В магазине Chrome есть обзоры пользователей, в которых упоминается перехват ссылок, и датированы они декабрем 2018 года.
На данный момент все зараженные расширения все еще доступны для загрузки. Avast связался с командами Microsoft и Google Chrome и сообщил о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему. Пока же Avast рекомендует пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем просканировать ПК и удалить вредоносное ПО, если таковое обнаружится.
Хакер.ру