Расширения Chrome с 1 миллионом установок взламывают целевые браузеры

Исследователи из Guardio Labs обнаружили новую вредоносную кампанию, продвигающую расширения Google Chrome, которые перехватывают результаты поиска и вставляют партнерские ссылки на веб-страницы.

Расширения Chrome с 1 миллионом установок взламывают целевые браузеры. Фото: СС0

Поскольку все эти расширения предлагают параметры настройки цвета и попадают на компьютер жертвы без вредоносного кода, который мог бы избежать обнаружения, аналитики назвали кампанию «Dermant Colors».

Согласно отчету Guardio, к середине октября 2022 года в интернет-магазинах Chrome и Edge было доступно 30 вариантов расширений для браузера, которые были установлены более миллиона раз

Заражение начинается с рекламы или перенаправлений при посещении веб-страниц, предлагающих видео или загрузку.

Однако при попытке загрузить программу или просмотреть видео вы будете перенаправлены на другой сайт, где будет указано, что для продолжения необходимо установить расширение.

Когда посетитель нажимает кнопку «ОК» или «Продолжить», ему предлагается установить безобидное на вид расширение, меняющее цвет.

Однако, когда эти расширения установлены, они будут перенаправлять пользователей на различные страницы, которые загружают вредоносные скрипты. Последние, в свою очередь инструктируют расширение о том, как выполнять перехват поиска и на какие сайты вставлять партнерские ссылки.

При перехвате поиска расширение будет перенаправлять поисковые запросы, чтобы возвращать результаты с сайтов, связанных с разработчиком расширения, таким образом получая доход от показов рекламы и продажи данных поиска.

Dormant Colors выходит за рамки этого, также перехватывая просмотр жертвой обширного списка из 10 тыс. веб-сайтов, автоматически перенаправляя пользователей на ту же страницу, но на этот раз с партнерскими ссылками, добавленными к URL-адресу.

Как только партнерские теги будут добавлены к URL-адресу, любая покупка, сделанная на сайте, будет генерировать комиссию для разработчиков.

Исследователи предупреждают, что, используя ту же скрытую технику боковой загрузки вредоносного кода, операторы Dormant Colors могут добиться более опасных вещей, чем перехват аффилированных лиц.

Исследователи говорят, что можно перенаправить жертв на фишинговые страницы, чтобы украсть учетные данные для Microsoft 365, Google Workspace, банковских сайтов или платформ социальных сетей.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме