Информационная безопасность

28 популярных расширений для Chrome и Edge оказались вредоносными

Emma McGowan, 18 декабря 2020

Их установило около 3 млн пользователей. Расширения предоставляют расширенный функционал на популярных платформах, таких как Instagram, ВКонтакте, YouTube.

Скрытые вредоносные программы были обнаружены нами по меньше мере в 28 сторонних расширениях для браузеров Google Chrome и Microsoft Edge. Вредоносные расширения связаны с популярными сервисами, такими как ВКонтакте, Facebook, Instagram, Spotify и Одноклассники.

Они могут перенаправлять трафик пользователей на рекламные или фишинговые сайты, красть личные данные, например, даты рождения, адреса электронной почты и информацию об активных устройствах. Учитывая количество загрузок этих расширений в магазинах приложений, количество предполагаемых жертв злоумышленников может достигать трех миллионов человек.

Найденные расширения обладают разным функционалом. Большая часть из них помогают загружать видео и музыку с популярных платформ: Facebook, Spotify, Instagram, ВКонтакте и SoundCloud.

Обнаруженный нами вредоносный код на основе Javascript позволяет им загружать дополнительные вредоносные программы на компьютер пользователя.

Пользователи также сообщали, что эти расширения управляют их работой в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о клике на командный сервер злоумышленника. Далее хакер может дополнительно отправить команду для перенаправления человека с реальной ссылки на новый захваченный URL-адрес, и только потом отправляет жертву на тот сайт, на который она изначально планировала.   

Это ставит под угрозу конфиденциальность пользователя, поскольку на эти сторонние сайты отправляется история кликов. Хакеры также извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса –– они могут быть использованы, чтобы найти примерное географическое местоположение жертвы.

Вероятнее всего, целью этого является монетизация самого трафика. За каждое перенаправление на сторонний домен киберпреступники получают комиссию. Расширение также может перенаправлять пользователей на фишинговые сайты.

«Мы предполагаем, что расширения были изначально созданы с вредоносной целью. Либо авторы дождались, пока их продукты станут популярными, а затем выпустили обновление, содержащее вредоносный код. Также возможно, что разработчики продали оригинальные расширения кому-то еще после их создания, а затем уже покупатель превратил их в вредоносные программы», — отмечает Ян Рубин, исследователь вредоносного ПО в Avast.

Наши специалисты по исследованию угроз начали исследовать данные программы в ноябре 2020 года. Эксперты не исключают, что они могли существовать незамеченными годами. В магазине Chrome есть обзоры, в которых упоминается перехват ссылок еще в декабре 2018 года. «Бэкдоры расширений хорошо скрыты, и расширения начинают проявлять вредоносную активность только через несколько дней после установки: это усложняет задачу для любого решения безопасности», — добавляет Ян Рубин. 

Вредоносное ПО было довольно сложно обнаружить, поскольку оно способно маскироваться. «Вирус определяет, ищет ли пользователь в Google один из его скрытых доменов или, например, является ли пользователь опытным веб-разработчиком. Если это так, то такое ПО не будет выполнять никаких вредоносных действий в браузере, — рассказывает Ян Войтешек, исследователь вредоносных программ в Avast. — Это позволяет избежать заражения людей, более опытных в веб-разработке, поскольку они могут распознать, что именно расширения делают в фоновом режиме».

На данный момент некоторые зараженные расширения все еще доступны для загрузки. Мы связались с командами Microsoft и Google Chrome и сообщили о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему.

Мы рекомендуем пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем выполнить просканировать устройство на наличие вредоносных программ.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter

Список вредоносных расширений для браузеров

На момент публикации списка данные расширения имеют скрытый вредоносный код:

Direct Message for Instagram

Direct Message for Instagram™

DM for Instagram

Invisible mode for Instagram Direct Message

Downloader for Instagram

Instagram Download Video & Image

App Phone for Instagram

App Phone for Instagram

Stories for Instagram

Universal Video Downloader

Universal Video Downloader

Video Downloader for FaceBook™

Video Downloader for FaceBook™

Vimeo™ Video Downloader 

Vimeo™ Video Downloader

Volume Controller

Zoomer for Instagram and FaceBook

VK UnBlock. Works fast.

Odnoklassniki UnBlock. Works quickly.

Upload photo to Instagram™

Spotify Music Downloader

Stories for Instagram

Upload photo to Instagram™

Pretty Kitty, The Cat Pet

Video Downloader for YouTube

SoundCloud Music Downloader

The New York Times News

Instagram App with Direct Message DM