Злоумышленники смогли взломать учетную запись файлообменника и облачного хранилища MEGA в магазине Chrome и загрузить для скачивания вредоносную версию расширения. Плагин с внедренным трояном замаскировали под официальное обновление 3.39.4. После установки он начинал собирать имена и пароли пользователей Amazon, Microsoft, Github, Google и криптовалютной биржи IDEX market, а также ключи от кошельков MyEtherWallet и MyMonero.

Как сообщили представители MEGA, взлом произошел 4 сентября в 14:30 UTC. Первым проблему заметил итальянский исследователь безопасности, известный в Twitter под ником SerHack. К анализу сразу подключились другие эксперты и быстро выяснили, что после установки плагин проверяет все формы отправки; найдя среди них строки со словами «Регистрация», «Вход», «Логин», «Пароль», «Имя пользователя», «Электронная почта», он посылал эти данные на расположенный на Украине хост megaopac.

Кроме того, расширение отслеживало шаблоны URL myetherwallet.com, mymonero.com и idex.market. Если такие находились, то вредонос запускал javascript, который пытался украсть ключи от криптокошельков на этих сайтах.

Через четыре часа после обнаружения проблемы разработчики заменили взломанный плагин на легитимный версии 3.39.5, автоматически установив его всем пострадавшим. Еще через час модераторы Google удалили зловред из интернет-магазина Chrome.

Компания не раскрывает количество пользователей, которых затронул этот инцидент, однако SerHack в интервью изданию BleepingComputer сказал, что это число превышает 1,5 миллиона.

Компания MEGA в своем блоге высказала недовольство мерами по обеспечению безопасности, которые предпринимает Chrome Web Store. «К сожалению, Google решил запретить разработчикам подписывать код в расширениях для своего браузера и теперь полагается только на автоматическую подпись после загрузки в магазин. Это устранило значительную препону для внешних вторжений. MEGAsync и наше расширение для Firefox подписаны нами лично и потому не стали жертвами атаки».

Специалисты рекомендуют всем пользователям плагина MEGA проверить, какая версия расширения у них установлена, и обновиться до сборки 3.39.5, а также поменять пароли ко всем учетным записям.

За последние два года злоумышленники неоднократно инфицировали плагины для Chrome различными зловредами. Некоторые из них могли отслеживать и собирать данные — в таких случаях преступники чаще старались не продвигать собственные расширения (как, например, Browse-Secure), а маскировать шпионы под известные утилиты. С помощью расширений преступники могут показывать навязчивую рекламу, перенаправлять на мошеннические сайты и тайно майнить криптовалюту на устройстве жертвы.

Категории: Вредоносные программы, Мошенничество