Google удалила пять блокировщиков рекламы из Интернет-магазина Chrome после того, как ИБ-исследователь и один из основателей Adguard Андрей Мешков обнаружил, что в расширения вшиты вредоносные скрипты. Скрытый код собирал информацию о посещенных страницах и передавал сведения на удаленный сервер.

Расширения пользовались популярностью: у них были высокие оценки и более 20 млн загрузок. AdRemover поставили себе 10 млн пользователей, uBlock Plus — 8 млн, Adblock Pro — 2 млн, HD для YouTube — 400 тыс. и Webutation — 30 тыс. человек.

При этом плагины не были оригинальной разработкой. Они просто копировали «начинку» популярных легитимных блокировщиков, добавляя в модифицированную библиотеку jQuery сторонний код. Скрытый зловред собирал историю просмотров, а сведения о некоторых посещенных сайтах отправлял на удаленный сервер. Чтобы не вызывать подозрений, ответные команды маскировались под безобидные изображения. На деле они представляли собой скрипты, способные повлиять на работу браузера.

«Этот скрытый скрипт отслеживал каждый запрос, сделанный вашим браузером, и сравнивал md5(url + «%Ujy%BNY0O») со списком подписей, хранящихся в coupons.txt. При выявлении совпадений скрипт загружал iframe с домена g.qyz.sx, передавая информацию о посещенной странице, после чего вновь запускал расширение», — пояснил Мешков. По его мнению, из зараженных браузеров злоумышленники создали ботнет, готовый выполнять команды с центрального сервера.

Эксперт отметил, что для продвижения модифицированных блокировщиков авторы пользуются описанием расширений. Они включают в них все возможные ключевые слова, по которым пользователь будет осуществлять поиск, чтобы попасть в верхние строчки выдачи.

Такой схемой злоумышленники пользуются не первый раз. Например, в октябре 2017 года Google удалила из своего магазина несколько фальшивых плагинов Adblock Plus. Они привлекали пользователей не только десятком ключевых слов в поиске, но и поддельной статистикой: на странице одного из них была указана ложная информация о том, что его скачали более 10 млн человек.

В основном злоумышленники используют вредоносные расширения для слежки и сбора персональных данных, однако с развитием популярности криптовалют стали появляться плагины, позволяющие втайне от жертвы заниматься майнингом. Так, к примеру, утилита Ldi маскировалась под инструмент проверки совместимости главных страниц с компьютерами Mac, но при этом зарабатывала на машинах владельцев цифровую валюту Monero.

Категории: Вредоносные программы