Новая вредоносная кампания, которая затрагивает пользователей Chrome, обнаружена экспертом из Malwarebytes Жеромом Сегурой.
Хакеры в ходе киберкампании пользуются всплывающими сообщениями Add Extension to Leave для переадресации жертв на веб-сайт, с которого невозможно уйти, не загрузив и установив расширение Chrome.
После инсталляции расширения оно блокирует доступ пользователя к страницам chrome://extensions и chrome://settings. Если пользователь попытается открыть эти страницы, то произойдет автоматическая переадресация на chrome://apps.
Кроме того, расширение осуществляет перехват трафика и переадресацию жертвы на вредоносные ресурсы при фиксации определенных ключевых слов в адресе сайта, на который пользователь хочет перейти. Переадресация происходит на подозрительные веб-страницы, предлагающие способы быстрого обогащения и фальшивые сайты технической поддержки.
Сегура был удивлен таким поведением расширения, так как в большинстве случаев вредоносные кампании осуществляют переадресацию пользователей на веб-страницы с наборами эксплоитов, доставляющими шифровальщики, банковские троянские программы и нежелательное рекламное программное обеспечение.