В магазине Google Chrome Web Store экспертами из Malwarebytes было выявлено вредоносное расширение iCalc. Расширение незаметно создавало прокси и перенаправляло весь трафик пользователя на сервер злоумышленников.
Расширение iCalc, имитирующее калькулятор, после своей установки на компьютер создавало прокси и направляло весь трафик пользователя через домен bestex9.xyz. Вероятно, киберпреступники занимались сбором информации о своих жертвах, чтобы в дальнейшем продавать ее рекламщикам. Вредоносная программа могла выходить на связь с командным сервером, который располагался на том же домене. Данный сервер через равные промежутки времени передавал программе дополнительные команды.
Однако внимание экспертов в большей степени привлек процесс инсталляции расширения. По словам специалистов из Malwarebytes, расширения для браузера Chrome имеют некоторые сходства с Android-приложениями, в частности, похожую процедуру установки. В обоих случаях пользователю необходимо вручную одобрить установку расширения путем ознакомления с разрешениями, которые запрашивает программа, и их принятия. Поскольку пользователи часто не могут до конца понять, что программа от них требует, мошенники для распространения своих разработок, активно пользуются различными агрессивными техниками, а также социальной инженерией.
Первая встреча экспертов с iCalc произошла случайно: исследователи обнаружили вредоносную рекламу, распространявшую расширение. При нажатии на баннер жертва перенаправлялась на веб-страницу злоумышленников, которую не так просто покинуть. Сайт отображал на экране пользователя множество popup-окон, содержащих предложение произвести установку вредоносного расширения. Если жертва закрывала одно окно, то на его месте моментально появлялось новое. Когда пользователь пытался навести курсор мыши на строку URL или кнопку закрытия браузера, то на экране появлялось еще одно окно, гораздо большего размера. Все время, пока пользователь находился на вредоносном ресурсе, в качестве фона проигрывалось аудиосообщение, содержавшее просьбу нажать на кнопку «Добавить» для установки расширения.
Пользователь мог выйти с этой страницы только путем завершения работы Интернет-браузера через диспетчер задач. К несчастью, многие пользователи скорее решат нажать кнопку «Добавить» и установят вредоносную программу. Их может не смутить даже тот факт, что в описании расширения честно сообщается о намерении осуществлять просмотр всей информации на посещенных сайтах и вносить в нее свои изменения.
Позже специалисты Malwarebytes обнаружили iCalc в официальном магазине Google Chrome Web Store. Несмотря на то, что у расширения не было ни отзывов, ни оценок, скачать его на тот момент успело свыше 1000 человек. Компания Google уже удалила из магазина опасное расширение.
После удаления iCalc из Web Store, исследователи обратили внимание на то, что теперь с помощью вредоносных рекламных баннеров продвигают другое расширение для Chrome, предназначенное для пользователей из России. Однако и эта киберкампания была пресечена.