В блокировщиках рекламы для Chrome нашли опасный зловред

Два популярных блокировщика рекламы тайно загружают данные о просмотрах пользователей и подделывают их учётные записи в социальных сетях благодаря вредоносному ПО. Зловреда несколько недель назад интегрировал новый владелец блокировщиков. Сообщается, что программы имеют более чем 300 тыс. активных пользователей.

Фото: Pixabay

Хьюго Сюй, разработчик расширений Nano Adblocker и Nano Defender, заявил в прошлом месяце, что у него больше нет времени на поддержку проекта, и он продал права на версии, доступные в Google Chrome Web Store. По его данным, ПО, которое часто используется вместе, имеют около 300 тыс. установок.

На этой неделе Раймонд Хилл, создатель расширения uBlock Origin, на котором основан Nano Adblocker, сообщил, что новые разработчики выпустили обновления с вредоносным кодом .

Новое расширение проверяет, открыл ли пользователь консоль разработчика своего смартфона. Если консоль была открыта, расширение отправляло файл с названием «отчёт» на удаленный сервер. «Проще говоря, расширение удалённо проверяет, используете ли вы инструменты разработчика расширений — это то, что вы бы сделали, если бы захотели узнать, что делает расширение», — написал он.

Самым очевидным изменением, которое заметили конечные пользователи, было то, что заражённые браузеры автоматически ставили лайки для большого количества публикаций в Instagram без участия пользователей. Сирил Горлла, исследователь искусственного интеллекта и машинного обучения из Калифорнийского университета в Сан-Диего, сказал, что его браузеру «понравилось» более 200 изображений из аккаунта Instagram, который ни на кого не подписан.

Nano Adblocker и Nano Defender - не единственные расширения, которые, как сообщается, вмешиваются в учётные записи Instagram. Сообщается, что расширение User Agent Switcher, у которого было более 100 тыс. активных пользователей, пока Google не удалил его в начале этого месяца, сделало то же самое.

Обновлённые расширения получают доступ к файлам cookie аутентификации, а через них к учётными записям пользователей, сообщает Arstechnica.

«Поскольку добавленный код может собирать заголовки запросов в режиме реального времени (я полагаю, через соединение через веб-сокет), это означает, что конфиденциальная информация, такая как файлы cookie сеанса, может быть получена злоумышленниками», — написал он в сообщении.

Google уже удалил расширения из интернет магазина Chrome и выпустил предупреждение, что они небезопасны. Любой, у кого было установлено какое-либо из этих расширений, должен немедленно удалить их со своих машин.

Как сообщал Startpack, ранее Google рассекретила данные о крупнейшей DDoS-атаке на свой облачный сервис.