Вредоносное ПО обнаружено в популярных браузерных расширениях Facebook, Instagram и Vimeo
Фото: Pixabay
Согласно отчёту, выпущенному компанией Avast, занимающейся кибербезопасностью, вредоносная программа может перенаправлять трафик пользователей на рекламные или фишинговые сайты и красть личные данные людей, такие как даты рождения, адреса электронной почты и информацию об активных устройствах.
Исследователи заявили, что вредоносная программа может затронуть до трёх миллионов пользователей, сообщает ITPro.
Малварь маскируется под добросовестные расширения, которые помогают загружать видео из Instagram, Facebook, Vimeo и других социальных платформ. Исследователи идентифицировали вредоносный код в расширениях на основе JavaScript, которые позволяют плагинам загружать дополнительные вредоносные программы на компьютер пользователя.
Угроза была впервые обнаружена в прошлом месяце, но исследователи полагают, что расширения могли действовать годами, и никто этого не заметил.
Пользователи также сообщают, что эти расширения манипулируют их работой в Интернете и перенаправляют их на другие веб-сайты. Каждый раз, когда пользователь нажимает на ссылку, расширения отправляют информацию о клике на сервер управления злоумышленника, который при желании может отправить команду для перенаправления жертвы с реальной цели ссылки на новый захваченный URL-адрес перед последующим перенаправлением на фактический веб-сайт, на котором они хотел в гости.
«Злоумышленники также извлекают и собирают даты рождения пользователя, адреса электронной почты и информацию об устройстве, включая время первого входа, время последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (которые могут использоваться для поиска приблизительной истории географического местоположения пользователя) », — говорится в сообщении.
Исследователи добавили, что цель этого — монетизировать сам трафик. За каждое перенаправление на сторонний домен киберпреступники получали платёж. Тем не менее, расширение также может перенаправлять пользователей на рекламные или фишинговые сайты.
«Наша гипотеза состоит в том, что либо расширения были специально созданы с использованием встроенного вредоносного ПО, либо автор ждал, пока расширения станут популярными, а затем выпустил обновление, содержащее вредоносное ПО. Возможно также, что автор продал исходные расширения кому-то ещё после их создания, а затем покупатель представил вредоносное ПО», — сказал Ян Рубин, исследователь вредоносных программ в Avast.
На данный момент заражённые расширения все ещё доступны для загрузки. Avast связался с командами Microsoft и Google Chrome, чтобы сообщить о них. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему. Пользователям рекомендуется отключить или удалить расширения на данный момент, пока проблема не будет решена.
Как сообщал Startpack, ранее исследователи обнаружили ещё одну новую малварь. PyMicropsia на Python и крадёт учётные данные браузера и файлы Outlook.
Комментариев пока не было