Эксперт Bleeping Computer Лоуренс Абрамс (Lawrence Abrams) предупреждает о появлении нового вредоносного расширения Chrome, именуемого Ldi. Этот плагин примечателен тем, что не только загружает Coinhive для майнинга криптовалюты, но также использует Gmail-аккаунт жертвы для регистрации доменов на Freenom.com.

По свидетельству Абрамса, зловред Ldi продвигается на взломанных сайтах посредством навязчивого показа предупреждений JavaScript с предложением установить Chrome-плагин. Если попытаться закрыть эти предупреждения, в браузере автоматически откроется страница загрузки Ldi на Chrome Web Store. Информации о самом плагине здесь минимум, а описание лаконично: Wondering if your homepage is compatible with Mac? Check it with Ldi («Хочешь знать, совместима ли твоя домашняя страница с Mac? Проверь с Ldi»).

Как показал анализ, данное расширение состоит из двух JavaScript-файлов: jarallax.min.js и bootstrap-filestyle.min.js. В конец последнего автор дописал обфусцированный JavaScript, который исполняется при каждом запуске браузера. Этот JavaScript включает еще один обфусцированный скрипт, который после расшифровки запускается на исполнение и запрашивает дополнительный скрипт с некоего сайта в домене fbcdnxy[.]net. Таким образом, заключает Абрамс, вредоносный Chrome-плагин может изменять функциональность, попросту закачивая разные сценарии.

В ходе тестирования образец Ldi сначала соединился с Facebook, но никаких действий на этом сайте не произвел. Абрамс полагает, что автор зловреда планировал распространять его, например, через Facebook Messenger, однако эту часть кода эксперт пока не успел как следует изучить. Затем вредоносный плагин быстро загрузил с удаленного сайта файл JSON со скриптом, способным устанавливать Coinhive для генерации Monero в пользу своего создателя, а также регистрировать бесплатные домены.

Регистрация при этом осуществляется следующим образом. Вначале Ldi подключается к Freenom и проверяет, можно ли зарегистрировать случайное имя (типа jihafivagobumini) в разных TLD-зонах. Каждый положительный результат он добавляет в корзину, и, набрав определенное количество, приступает к оформлению заявки.

Если жертва в этот момент использует Gmail, зловред просматривает HTML-код страницы и извлекает из нее почтовый адрес. После этого Ldi получает произвольные данные регистранта, используя бесплатный сервис randomuser.me. Теперь можно было бы завершить регистрацию на Freenom, однако заявитель должен подтвердить свой email-адрес. С этой целью, подставляя в форму Gmail-адрес жертвы, хитроумный зловред автоматически открывает ей ссылку для подтверждения.

По окончании регистрации Ldi отправляет отчет на C&C-сервер в домене fbcdnxy[.]net. Как оказалось, каждая установка вредоносного плагина обеспечивает его автору 4 доменных имени. Зачем они вирусописателю, Абрамс не выяснил, но отметил, что при большом количестве заражений их будет достаточно много для дальнейшего распространения Ldi, раздачи других зловредов или проведения фишинговых кампаний.

По словам эксперта, вредоносное расширение уже удалено с Chrome Web Store, а сайты, рекламирующие его, очищены.

Категории: Аналитика, Вредоносные программы