Хакеры атакуют русскоязычных пользователей с помощью поддельных VPN для Chrome
Хакеры атакуют русскоязычных пользователей с помощью поддельных VPN для Chrome. Фото: СС0
По данным компании ReasonLabs, обнаружившей вредоносные расширения, они распространяются через установщик, спрятанный в пиратских копиях популярных видеоигр, таких как Grand Theft Auto, Assassins Creed и The Sims 4, которые распространяются с торрент-сайтов.
ReasonLabs уведомила Google о своих выводах, и технический гигант удалил ПО из Интернет-магазина Chrome. Но это произошло только после того, как они набрали в общей сложности 1,5 миллиона загрузок.
Специалисты говорят, что netPlus набрало1 млн установок, netSave и netWin в общей сложности 500 тыс. установок.
Большинство заражений приходится на Россию, Украину, Казахстан и Белоруссию, поэтому кампания, судя по всему, нацелена на русскоязычных пользователей.
Команда ReasonLabs обнаружила более тысячи различных торрент-файлов, содержащих вредоносный установочный файл, который представляет собой электронное приложение размером от 60 до 100 МБ.
Установка расширений VPN является автоматической и принудительной, происходит на уровне реестра, не требует участия пользователя и каких-либо действий со стороны жертвы.
В конце концов установщик проверяет наличие антивирусных продуктов на зараженном компьютере, а затем удаляет netSave в Google Chrome и netPlus в Microsoft Edge.
Вредоносные расширения используют реалистичный пользовательский интерфейс VPN с некоторыми функциями и возможностью платной подписки, чтобы создать ощущение аутентичности.
Анализ кода показывает, что расширение также имеет доступ к «вкладкам», «хранилищу», «прокси», «webRequest», «webRequestBlocking», «declarativeNetRequest», «скриптам», «оповещениям», «cookies», «activeTab» и т. д. «менеджмент» и «за кадром».
ReasonLabs отмечает, что злоупотребление разрешением «вне экрана» позволяет вредоносному ПО запускать сценарии через Offscreen API и скрытно взаимодействовать с текущей DOM (объектной моделью документа) веб-страницы.
Такой обширный доступ к DOM позволяет расширениям красть конфиденциальные пользовательские данные, осуществлять перехват браузера, манипулировать веб-запросами и даже отключать другие расширения, установленные в браузере.
Еще функция расширения — отключение других расширений кэшбэка и купонов, чтобы перенаправить средства от ни злоумышленникам.
Связь расширений с серверами C2 (управления и контроля) включает обмен данными, касающимися инструкций и команд. Злоумышленники идентифицируют жертву и крадут конфиденциальные данные.
Чтобы избежать подобных рисков, исследователи призывают регулярно проверять расширения, установленные в браузере и изучать обзоры в Интернет-магазине Chrome, чтобы оперативно узнавать о вредоносном поведении.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было