За последние несколько месяцев экспертам удалось зафиксировать несколько кибератак, направленных на разработчиков разных расширений для самого популярного браузера в мире Google Chrome. В связи с этим компания Proofpoint решила проверить популярные расширения для этого веб-обозревателя и выяснить, какие из них могут содержать вредоносный программный код.
Организовав атаку, направленную против разработчиков, злоумышленникам удалось получить все необходимые данные для доступа к Chrome Web Store и соответственно к исходному коду их продуктов, чтобы внедрить в него свой вредоносный функционал. В некоторых случаях такие расширения похищаются или же создаются их копии со встроенными вредоносными функциями. Такие действия вредят не только самим разработчикам, но еще и компании Google, ведь она должна проверять размещаемые в официальных интернет-магазинах продукты на наличие вирусов.
Первый инцидент с интеграцией вредоносного кода в браузерное расширение произошло почти 2 недели назад. Тогда была организована фишинговая атака, направленная на разработчика расширения Copyfish. Этот плагин используется пользователями браузера Chrome для того, чтобы извлекать текст со страниц, открытых картинок, видео и документов. Расширение помогает не только распознавать текстовый контент, но и сохранять его в отдельном файле.
Атака на разработчика была организована очень хитро. Злоумышленники прислали ему письмо якобы от компании Google с требованием обновить расширение. Если обновление не произойдет, то его продукт грозились удалить из Chrome Web Store. Ничего не подозревая, создатель Copyfish выполнил все требования, но в письме предлагалась ссылка на фишинговую страницу, которой он как раз и воспользовался. Таким образом он передал все свои данные учетной записи мошенникам. Они внедрили в расширение вредоносный код и сделали доступным измененное расширение под видом обновления. У некоторых пользователей оно загружалось автоматически, после чего люди начинали жаловаться на появившуюся в браузере рекламу. Разбирательство по этому поводу заняло много времени, так как имея доступ к исходному коду, злоумышленники перенесли расширение в свой аккаунт и распространяют как собственный продукт.
Всего лишь через 2 дня после совершения такой атаки еще один разработчик попался на удочку злоумышленников. На этот раз им удалось заразить расширение Web Developer. Всего с демонстрацией рекламы через эти приложения уже столкнулись более 1 млн пользователей, использующих браузер Google Chrome.
В связи с этим специалисты провели тщательную проверку других расширений для этого веб-обозревателя, которые тоже могут быть заражены. Итогом такой работы стало обнаружение еще нескольких расширений, которые хакерам удалось скомпрометировать.
Всего же зараженными оказались 6 расширений. Кроме уже названных выше в их число попали Chrometana, Web Paint, Infinity New Tab, Social Fixer.
Еще раньше с проблемой демонстрации рекламы в браузере столкнулись пользователи расширений Betternet VPN и TouchVPN. Эксперты полагают, что изменение их кода является делом рук того же самого злоумышленника или группы.
Всего удалось посчитать, что зараженные расширения были установлены на более чем 4 млн компьютеров.
Если пользователи пользуются одним из этих расширений, то специалисты по информационной безопасности настоятельно советуют удалить зараженные продукты, а вместо них использовать другие более надежные сервисы.