В Google Chrome Web Store выявлено большое количество вредоносных расширений для соответствующего браузера. Эти расширения обманным путем проникали на компьютеры пользователей, чтобы похищать их аккаунты в социальных сетях. Помимо этого, данные программы могли применяться для того, чтобы проводить DDoS-атаки, похищать пароли и биткоины.
Вредоносные расширения были обнаружены датским студентом Максимом Кейа, обратившим внимание на факт распространения злоумышленниками в Facebook ссылок на сомнительный сайт, который проверяет возраст посетителей. Для проверки ресурс требует произвести установку специального расширения для браузера.
Все расширения, распространение которых осуществлялось подобным способом, имели схожие названия, состоявшие из разнообразных сочетаний слов «вирусный», «возраст» и «проверка». Поскольку программы были загружены на официальный сайт Google, злоумышленникам было проще убеждать особо осторожных пользователей в их безвредности.
Вредоносные расширения после установки отправляли пользователю запрос на получение максимальных прав. Эти программы функционировали с того момента, как пользователь запускал браузер, вплоть до его закрытия.
Данные расширения никоим образом не были связаны с проверкой возраста. В состав каждой программы входили три файла: безвредный модуль для разбора URL, background.js, имитирующий процедуру проверки возраста, и install.js, загружающий еще один скрипт с сервера, принадлежащего злоумышленникам.
С помощью этой схемы установки киберпреступники обманывали автоматические защитные механизмы Google, которые выявляют и останавливают вредоносную программу, включенную в состав самого расширения, однако при этом не следят за его активностью после инсталляции.
Загруженный скрипт выходит на связь с командным сервером и начинает выполнять его указания. В настоящее время его главной задачей является захват аккаунтов Facebook. По словам Кейа, после авторизации в социальной сети расширение отправило на командный сервер токен доступа к его учетной записи в Facebook. С помощью токена вредоносная программа начала действовать от имени Кейа, в том числе расставлять рекламные лайки.
Кейа оценивает количество компьютеров, зараженных вредоносными расширениями, в 132265 устройств.
