А вы задумывались когда-нибудь, почему ваш скромный друг на Facebook вдруг начал активно публиковать на своей странице пошлые линкбейт-посты? На этот вопрос пытался найти ответ исследователь Максим Кьяер (Maxime Kjaer), когда отметил, что обновления его друга в Facebook были завалены лайками провокационных ссылок вроде «Basic Kissing Tips» («Как правильно целоваться»).

«Я был заинтригован и решил выяснить, из-за чего весь сыр-бор», — написал в своем блоге Кьяер, 19-летний студент факультета компьютерных технологий в Швейцарском федеральном технологическом институте.

Он обнаружил «зияющую дыру» в магазине приложений Google Chrome, вследствие которой вирусописатели заражали браузер при помощи вредоносного расширения для верификации возраста.

Зараженное расширение под названием Viral Content Age Verify позволяло «считывать и модифицировать данные на сайтах, которые посещает пользователь», а также потенциально «читать электронную почту, похищать учетные записи, использовать компьютер для DDoS-атак, майнить биткойны, распространять пиратский контент… дальше сами продолжайте». «Кроме того, злоумышленник мог считывать и красть информацию о кредитных картах, если вы вводите данные кредитки на любой веб-странице», — описывает масштаб проблемы Кьяер.

Исследование началось с того, что Кьяер «лайкнул» один из постов своего друга в Facebook. Как только он это сделал, пришел запрос на подтверждение возраста через установку расширения Viral Content Age Verify в Chrome.

Согласившись на установку расширения, Кьяер отметил, что в этот же момент файл метаданных manifest.json начал исполняться в трех скриптах (background.js, query-string.js и install.js). Как background.js, так и query-string.js достаточно безобидны. Однако скрипт install.js запускает загрузку вредоносного компонента с двух жестко закодированных URL-ссылок. «Первая ссылка служит для получения инструкций с командного сервера, а вторая — для связи с ним», — пишет исследователь.

После исполнения скрипта зараженная машина получает от командного сервера инструкции по краже токенов доступа к Facebook, чтобы злоумышленники смогли добраться до странички жертвы. После получения доступа к аккаунту в соцсети хакеры от имени «взломанного» пользователя немедленно «лайкали» страницу под названием VVideosss.

Хотя Кьяер утверждает, что все функции зловреда были «заточены» под работу в Facebook, возможность кражи учетных записей также применима к YouTube. Заполучив учетные данные, зловред посылает на командный сервер информацию о зараженном компьютере, версии вредоносного расширения и о том, залогинился ли пользователь в Facebook.

По словам Кьяера, в магазине Google Chrome было обнаружено девять одинаковых версий расширения Viral Content Age Verify, и ими воспользовались 132 265 пользователей. Кьяер уже оповестил Google и хостера DigitalOcean, у которого размещен C&C-сервер атакующих. И Google, и хостинговая компания незамедлительно приняли меры: отключили сервера и занесли расширение в черный список.

«Технически все компьютеры сейчас заражены, но сам зловред будет обезврежен. Уязвимость, которая содержалась в 130 тыс. систем, пропатчена. Конечно, это капля в море по сравнению со всем Интернетом, но все равно, я считаю, неплохо», — признался Кьяер.

Google пока не ответила на запрос Threatpost о комментарии, но с Кьяером связалась и подтвердила, что все расширения Age Verification внесены в черный список. Уилл Харрис (Will Harris), член ИБ-команды Chrome, подчеркнул, что после внесения в черный список расширения будут автоматически удалены с зараженных компьютеров.

Кьяер похвалил Google за оперативность, однако осудил политику компании в отношении безопасности расширений Chrome.

«Дело в том, что существующая система распознавания вредоносного ПО в магазине Chrome Webstore — посмешище, — написал он. — Чтобы обойти меры безопасности, нужно лишь грузить вредоносный компонент в ходе установки расширения, а не паковать его в загрузчик. Это положение вещей сохраняется годами, и Google, похоже, никак не соберется решить эту проблему. Компания предлагает пятизначные суммы за поиск багов в Chrome и совершенно игнорирует зияющую дыру в системе безопасности!»

Категории: Вредоносные программы, Главное, Уязвимости