Бразильский ИБ-исследователь Ренату Маринью обнаружил очередной вредоносный плагин, который способен похитить данные учетных записей пользователей. Он имеет вид обычного расширения, но не выполняет никаких полезных функций, а только осуществляет кражу личной информации.
Расширение действует таким образом, что благодаря ему злоумышленники могут перехватить все запросы HTTP POST и, таким образом, узнать учетные данные каждого пользователя. Для распространения своего мошеннического продукта хакеры выбрали давно знакомый способ, который уже даже многие пользователи не воспринимают всерьез и не реагируют на него.
Специалист получил странное письмо, в котором было указано, что ему отправили какие-то фото через популярный мессенджер WhatsApp. В письме содержались ссылки, при нажатии на которые якобы на компьютер должен установиться сервис для общения. Но на самом деле при активации одной из ссылок на ПК пользователя начинал загружаться зараженный файл, имеющий название whatsapp.exe. Однако на самом деле никакой мессенджер не загружается. Если после окончания загрузки пользователь активирует загруженный файл, то перед ним покажется новое окно, похожее на инсталлятор Adobe PDF Reader. В нем требуется дать разрешение на полную установку программы. Как только человек соглашается и нажимает на соответствующую кнопку, вирус начинает загружать еще и архив zip. Он весит всего 9,5 Мбайт, поэтому его загрузка для пользователей скоростного Интернета проходит практически незаметно. Архив содержит 2 файла, объем каждого из которых составляет примерно 200 Мбайт.
После подробного изучения этих файлов Маринью выяснил, что в бинарниках полезный объем составляет только 3%, а остальное забито какими-то фиктивными операциями, которые только лишь увеличивают размер файла. Специалист сделал предположение, что такую хитрость злоумышленники предприняли для того, чтобы обойти различные защитные решения. Дело в том, что они обычно игнорируют файлы большого объема, поэтому не проверяют их, так как в большинстве случаев они не вызывают подозрения.
Как только загрузка и все подготовительные процессы для установки плагина завершаются, запускается один из содержащихся в архиве файлов. Сначала объектом его внимания становится брандмауэр Windows, который он пытается отключить. Позже он переключается на браузер Google Chrome. Он принудительно завершает все его процессы, которые могут оказать сопротивление установке зараженного расширения. После этого из архива извлекается непосредственно сам JavaScript-плагин. Он отключает встроенную защиту в браузере, чтобы зловред мог полноценно выполнять свои функции, а также изменяет модуль запуска.
После завершения процесса установки вредонос приступает к отслеживанию действий пользователя и сбору всей необходимой информации по учетным записям. Потом вся эта информация передается на удаленный сервер.
Если сравнивать этот способ похищения личных данных пользователя, то он менее затратный, чем привычные способы.
Эксперт уверен, что этот зловред имеет все шансы добиться успеха, так как имеющиеся в Chrome настройки будут способствовать этому. Например, в браузере разрешено расширениям связываться со сторонними объектами, к тому же защита веб-обозревателя от вредоносных расширений легко отключается.