Хакеры атакуют русскоязычных пользователей с помощью поддельных VPN для Chrome

Три вредоносных расширения Chrome, выдающих себя за зараженные VPN (виртуальные частные сети), были загружены 1,5 млн раз. Они действуют как «угонщики» браузера, инструменты для взлома и похитители данных.

Хакеры атакуют русскоязычных пользователей с помощью поддельных VPN для Chrome. Фото: СС0

По данным компании ReasonLabs, обнаружившей вредоносные расширения, они распространяются через установщик, спрятанный в пиратских копиях популярных видеоигр, таких как Grand Theft Auto, Assassins Creed и The Sims 4, которые распространяются с торрент-сайтов.

ReasonLabs уведомила Google о своих выводах, и технический гигант удалил ПО из Интернет-магазина Chrome. Но это произошло только после того, как они набрали в общей сложности 1,5 миллиона загрузок.

Специалисты говорят, что netPlus набрало1 млн установок, netSave и netWin в общей сложности 500 тыс. установок.

Большинство заражений приходится на Россию, Украину, Казахстан и Белоруссию, поэтому кампания, судя по всему, нацелена на русскоязычных пользователей.

Команда ReasonLabs обнаружила более тысячи различных торрент-файлов, содержащих вредоносный установочный файл, который представляет собой электронное приложение размером от 60 до 100 МБ.

Установка расширений VPN является автоматической и принудительной, происходит на уровне реестра, не требует участия пользователя и каких-либо действий со стороны жертвы.

В конце концов установщик проверяет наличие антивирусных продуктов на зараженном компьютере, а затем удаляет netSave в Google Chrome и netPlus в Microsoft Edge.

Вредоносные расширения используют реалистичный пользовательский интерфейс VPN с некоторыми функциями и возможностью платной подписки, чтобы создать ощущение аутентичности.

Анализ кода показывает, что расширение также имеет доступ к «вкладкам», «хранилищу», «прокси», «webRequest», «webRequestBlocking», «declarativeNetRequest», «скриптам», «оповещениям», «cookies», «activeTab» и т. д. «менеджмент» и «за кадром».

ReasonLabs отмечает, что злоупотребление разрешением «вне экрана» позволяет вредоносному ПО запускать сценарии через Offscreen API и скрытно взаимодействовать с текущей DOM (объектной моделью документа) веб-страницы.

Такой обширный доступ к DOM позволяет расширениям красть конфиденциальные пользовательские данные, осуществлять перехват браузера, манипулировать веб-запросами и даже отключать другие расширения, установленные в браузере.

Еще функция расширения — отключение других расширений кэшбэка и купонов, чтобы перенаправить средства от ни злоумышленникам.

Связь расширений с серверами C2 (управления и контроля) включает обмен данными, касающимися инструкций и команд. Злоумышленники идентифицируют жертву и крадут конфиденциальные данные.

Чтобы избежать подобных рисков, исследователи призывают регулярно проверять расширения, установленные в браузере и изучать обзоры в Интернет-магазине Chrome, чтобы оперативно узнавать о вредоносном поведении.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме