Исследователи по кибербезопасности из Koi Security обнаружили одиннадцать вредоносных расширений в магазине Chrome. Эти приложения были скачаны более 1,7 миллионов раз, при этом они могут отслеживать действия пользователей на сайтах, перехватывать историю браузера и перенаправлять их на небезопасные сайты.
Согласно информации Bleeping Computers, ссылающихся на Koi Security, большинство приложений выполняют заявленную функцию. Они маскируются под «настоящие» расширения, вроде прогноза погоды или эмодзи-клавиатуры. В их числе: Color Picker, Eyedropper — Geco colorpick, Emoji keyboard online — copy&paste your emoji, Free Weather Forecast, Video Speed Controller — Video manager, Volume Max — Ultimate Sound Booster. Часть из этих расширений уже удалена после большого количества жалоб, однако некоторые из них все еще доступны.
Более того, некоторые из расширений имеют верификацию, расположены на главной странице магазина Chrome и имеют большое количество положительных отзывов, что вводит пользователей в заблуждение. По словам исследователей, вредоносный код находится в фоновых службах расширений через Chrome Extensions API. В них находится обработчик, который срабатывает при загрузке новой странице в браузере, считывает URL и, вместе с ID пользователя, отправляет данные на удаленный сервер.
Больше статей и видео в нашем Дзен-канале
В ответ, теоретически, сервер может давать команды на перенаправление. Koi Systems во время собственных тестов их не нашли, но это не отменяет потенциальной угрозы перенаправления на фишинговые или зараженные сайты.
Еще одна важная деталь – изначально расширения не содержали вредоносного кода. Он появился в них позже, при помощи функции автоматического обновления. Разработчики расширений пока не дали комментариев, но возможно, их аккаунты были взломаны злоумышленниками, которые и вставили вредоносный код.
Koi Security обнаружила аналогичный список расширений и в Microsoft Edge, где они суммарно набрали около 600 тысяч установок. Таким образом, злоумышленники потенциально заразили 2,3 миллиона компьютеров. В случае обнаружения у себя опасного расширения, Koi Security рекомендуют выполнить следующие шаги: немедленно удалить расширения из браузера, очистить историю браузера и Cookie, проверить компьютер антивирусом, а также следить за подозрительной активностью в аккаунтах онлайн-сервисов и соцсетей.
