-> ->

Обнаружено еще одно расширение для Chrome, которое устанавливает майнер

Браузер Google Chrome даже несмотря на то, что он охватывает уже почти 60% мирового рынка, продолжает набирать популярность. А вместе с пользователями к нему присматриваются еще и злоумышленники, которые все чаще используют уязвимости в нем или же в сопутствующих продуктах, чтобы получить доступ к конфиденциальной информации, данным по кредитным картам и пр. Недавно специалисты обнаружили очередную атаку, направленную против пользователей Chrome. Для этого злоумышленники использовали специальный плагин.

Учитывая высокий уровень защиты и осведомленность пользователей, злоумышленникам приходится придумывать более хитрые и сложные способы совершения атак. Сейчас довольно часто стали встречаться, в том числе и в официальном интернет-магазине расширений, вредоносные плагины и клоны популярных расширений, которые могут не только встраивать рекламу в браузер, но еще подменять поисковые запросы, показывать фишинговые страницы и даже добавлять в браузер майнер криптовалюты. В связи с этим эксперты по информационной безопасности все чаще стали обращать внимание и исследовать разные подозрительные расширения. На этот раз в поле зрения эксперта Лоуренса Абрамса попал плагин под названием Ldi. Спциалист уверен, что создатели этого расширения вывели свою преступную деятельность благодаря ему на совершенно новый уровень, так как Ldi является очень сложным и многофункциональным продуктом. Его главной функцией является добавление в браузер майнера криптовалюты Coinhive. Но только этой возможностью его функционал не ограничивается. Вредоносное расширение получает доступ к учетной записи пользователя в сервисе Gmail и использует ее потом для регистрации бесплатных доменов, которая проходит на сервисе Freenom.

Для распространения этого расширения хакеры выбрали вполне обычный и простой способ. Они вынуждали пользователей установить плагин через специальные сайты, демонстрирующие уведомление о необходимости его установки. Если человек не соглашался на установку расширения и совершал попытку закрыть уведомление, то перед ним сразу же открывалась страница расширения в Chrome Web Store. Описание продукта было весьма скудным, поэтому из него пользователи не могли даже понять, какие функции выполняет Ldi.

После поступления первых жалоб на это расширение специалисты Chrome его оперативно удалили из магазина.

Детальное изучение расширения показало, что оно состоит из двух файлов. Первый служит для запуска JavaScript-кода, который будет выполняться каждый раз при запуске браузера. Запуск скрипта сопровождается подключением расширения к сложному URL-адресу, который в свою очередь отправляет расширению другой код для выполнения.

Также после запуска браузера расширение пытается подключиться к аккаунту пользователя в Facebook. Вообще во время изучения кода расширения эксперту удалось обнаружить, что очень большая часть программы связана именно с Facebook. Что именно это дает и какие цели преследовал злоумышленник с помощью такой привязки сейчас сказать сложно.

Следующим этапом является загрузка в браузер Coinhive и добыча криптовалюты Monero. Вместе с этим процессом расширение подключается к Freenom.com и начинает регистрировать разные домены. Для чего они в дальнейшем будут использоваться, еще неясно. Возможно, в будущем они будут задействованы для распространения каких-то вредоносных программ.

Поставить рейтинг:(Рейтинг: 2.75, оценок: 8)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.