Администраторы каталога расширений Chrome удалили два плагина, которые скрытно собирали пользовательские данные. Создатели вредоносных программ оформили свои продукты так, чтобы они были похожи на популярные рекламные блокировщики AdBlock Plus и uBlock Origin.

Расширения с двойной функциональностью

О проблеме сообщил Андрей Мешков, технический директор еще одного блокировщика баннеров AdGuard. По его словам, злоумышленники использовали код оригинальных расширений, чтобы их программы выполняли заявленную функцию, скрывая рекламу при посещении сайтов. Однако в дополнение к этим возможностям в коде блокировщиков обнаружилась скрытая опция, позволявшая мошенникам получать незаконную прибыль.

Преступники использовали технику подстановки файлов cookie (cookie stuffing). Каждый раз, когда интернет-посетитель заходил на страницу какого-либо интернет-магазина, вредоносный плагин отправлял веб-серверу специальный запрос, получая в ответ партнерский реферер. Если в дальнейшем пользователь совершал на сайте покупку, создатели расширения получали комиссию от сделки.

Мешков отметил, что злоумышленники старались скрыть свою активность. Подстановка cookie запускалась только через 55 часов после установки плагина. Кроме того, расширение отключало эту функцию, если пользователь открывал в Chrome консоль разработчика.

Еженедельная аудитория вредоносных плагинов включала 1,6 млн активных пользователей. По оценкам Мешкова, они приносили преступникам миллионы долларов.

Борьба Google с опасными расширениями

Ранее в каталоге Google Chrome уже появлялись вредоносные расширения, которые использовали чужое имя, чтобы зарабатывать на пользователях. Благодаря усилиям той же компании AdGuard, в 2018 году администраторы удалили сразу пять блокировщиков рекламы, которые следили за тем, на какие сайты заходят пользователи. Эти компоненты были установлены более чем в 20 млн браузеров.

По информации аналитиков, опасные функции есть у трети расширений Google Chrome. Уязвимости кода позволяют злоумышленникам встраивать вредоносные модули в интернет-страницы, подменять их содержимое и красть пользовательские данные. Преступники также атакуют и создателей опубликованных в каталоге плагинов, чтобы получить доступ к их аудитории.

В конце 2018 года администраторы интернет-магазина Chrome обновили правила для создателей расширений, чтобы укрепить защиту каталога от вредоносного ПО. В частности, в репозитории появилась система двухфакторной аутентификации, а разработчикам запретили обфусцировать код.

В то же время комментаторы отмечают, что эти меры не помогают бороться с маскировкой вредоносных расширений под легитимные. Кроме того, в отсутствие периодических проверок ПО злоумышленники могут свободно менять код уже опубликованных плагинов, добавляя нежелательные функции. В этой ситуации пользователям рекомендуется установить специализированные антивирусные расширения, которые блокируют подозрительную активность в Google Chrome.

Категории: Вредоносные программы, Мошенничество