Эксперты кибербезопасности компании ICEBRG обнаружили четыре вредоносных расширения для Google Chrome, которые скачали более полумиллиона пользователей. Их использование могло привести к инъекции и исполнению вредоносного JavaScript-кода, а также к загрузке нежелательных страниц и рекламных объявлений без ведома владельца компьютера.

Исследователи обратили внимание на расширения, когда заметили подозрительный рост трафика от рабочей станции их клиента к европейскому виртуальному выделенному провайдеру. HTTP-трафик направлялся на домен change-request[.]info и исходил из плагина Change HTTP Request Header. Как выяснили эксперты, расширение, используя функцию update_presets(), скачивало c этого домена обфускационный JSON-файл. Затем вредоносный JavaScript-код создавал WebSocket-туннель и использовал его для перенаправления трафика в браузере жертвы.

Скорее всего, злоумышленники использовали плагины для мошенничества с накручиванием просмотров страниц и манипуляций с SEO-запросами. Тем не менее, при помощи расширений преступники могли также получить доступ к корпоративным данным и личной информации пользователей. По сведениям ICEBRG, помимо Change HTTP Request Header в магазине Chrome выложены еще три вредоносных расширения, действующих аналогичным образом: изменяющее логотип Google расширение Nyoogle, менеджер закладок Lite Bookmarks и плагин Stickies для создания виртуальных заметок.

Напомним, что за последние несколько месяцев эксперты кибербезопасности несколько раз сообщали о вредоносных расширениях в магазине Chrome. Так, в ноябре специалист по IT-безопасности обратил внимание на плагин Browse-Secure, похищающий личные данные пользователей. Немногим ранее эксперты компании Morphus предупредили о JavaScript-расширении, перехватывающем учетные данные, а исследователи BleepingComputer — о плагине Ldi, устанавливающем на компьютер жертвы криптомайнер.

Категории: Вредоносные программы, Главное, Кибероборона