Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вредоносные расширения из Google Chrome Web Store воруют чужие "фейсбуки"

Вредоносные расширения из Google Chrome Web Store воруют чужие "фейсбуки"

Вредоносные расширения из Google Chrome Web Store воруют чужие "фейсбуки"


20.07.2016



В Google Chrome Web Store нашли целые залежи вредоносных расширений для браузера Google Chrome. Они обманом попадали на компьютеры своих жертв, а потом похищали их учётные записи в социальной сети. Кроме того, эти расширения могли использоваться для проведения DDoS-атак, кражи паролей, добычи Bitcoin — и это ещё не полный список.

Вредоносные расширения обнаружил датский студент по имени Максим Кейа (Maxime Kjaer). Он заметил, что злоумышленники распространяют в Facebook ссылки на сомнительный сайт, проверяющий возраст посетителей. Метод проверки необычен: сайт требует установить специальное расширение для браузера. Впрочем, пользователи привыкли и не к такому и послушно делают, что велено.

Все расширения, распространявшиеся таким образом, имели похожие названия, состоящие из различных комбинаций слов "возраст", "проверка" и "вирусный" (aga, verify, viral), и были загружены на официальный сайт Google. Это помогало злоумышленникам убедить в безвредности затеи особенно осторожных пользователей.

После установки вредоносные расширения требовали максимальных прав и работали от момента запуска браузера и до его закрытия.

К проверке возраста эти программы не имели ни малейшего отношения. Расширения состояли из трёх файлов. Один из них представляет собой безвредный модуль для разбора URL, а функциональность сосредоточена в двух других: background.js и install.js. Один имитирует процесс проверки возраста, а другой при первой же возможности загружает с сервера злоумышленников ещё один скрипт.

Вся вредоносная функциональность скрывается именно в нём. Такая многоступенчатая схема установки понадобилась для того, чтобы обмануть автоматику Google. Она может заметить и остановить откровеную малварь, которая включена в состав самого расширения, но не следит за тем, что оно делает уже после установки.

Загруженный скрипт подключается к командному серверу и исполняет получаемые указания. В данный момент его основная функциональность заключается в захвате учётных записей Facebook. Кейа пишет, что после входа в социальную сеть расширение передало на командный сервер токен доступа к его аккаунту Facebook. Токен позволил софту злоумышленников действовать от его имени. Тот немедленно воспользовался такой возможностью и начал расставлять рекламные лайки.

По подсчётам Кейа, вредоносные аддоны установлены на 132265 компьютеров.

Хакер