HTCinside
Фірма Duo Security нещодавно виявила понад 500 розширень браузера, які були завантажені мільйони разів, викрадають дані користувачів і завантажують їх на сервери, контрольовані зловмисниками для такого використання. Було виявлено, що ці розширення працювали приблизно з січня 2019 року, причому потік швидко зростав з березня по червень. Однак фірма відзначає можливість того, що вони могли працювати набагато довше, можливо, з 2017 року.
Джаміла Кая, незалежний дослідник компанії Cisco, виявила, що вони були частиною тривалої схеми зловживання рекламою та шахрайства. Під час першого раунду фірма виявила 71 таке розширення, яке було завантажено понад 1,7 мільйона користувачів у веб-магазині Chrome. Вони повідомили про це в Google, коли виявили ще близько 400 таких розширень.
Незважаючи на те, що розширення не мають нічого спільного, коли справа доходить до їхньої функціональності, вони мають той самий вихідний код, виявив Kaya. Вона відкрила ці розширення за допомогою Екскаватор CRX , інструмент, який Duo Security розробив і опублікував для безкоштовного використання. Цей інструмент визначає безпеку будь-якого розширення Chrome.
Ці тіньові розширення були представлені як утиліти, які надавали різні рекламні акції. Але факт полягав у тому, що розширення призвели до рекламного шахрайства та шкідливої реклами через перегляд браузерів. Потім плагіни будуть підключені до веб-сайту, який схожий на розширення, яке встановив користувач, щоб перевірити, чи слід видаляти їх самостійно.
Потім плагіни перенаправляли б браузери на жорстко закодовані сервери для отримання додаткових інструкцій щодо того, що потрібно зробити. Саме тут браузери завантажують дані, списки каналів реклами або домени для майбутніх перенаправлень. Браузери просто слідували і виконували те, що було запропоновано через перенаправлення.
Читати –Shady Chrome Extension краде криптовалюту на 16 000 доларів
Було помічено, що хоча перенаправлення були здебільшого нешкідливими, вони стали зловмисними та шахрайськими, коли врахували кількість перенаправлень. У деяких випадках браузер перенаправлявся більше 30 разів. До цього додається навмисне приховування більшості реклами від користувачів, а також комбінація цих двох, де переспрямування спрямовує користувача на шкідливе програмне забезпечення та фішингові сайти.
У Duo Security зазначають, що ці розширення були створені таким чином, що фактичні наміри щодо реклами завжди залишаються прихованими від користувачів. «Це було зроблено для підключення клієнтів браузера до командно-контрольної архітектури, вилучення приватних даних веб-перегляду без відома користувачів, піддавання користувача ризику використання через рекламні потоки та спроби уникнути механізмів виявлення шахрайства Веб-магазину Chrome– йдеться у повідомленні охоронної фірми.
Google давно вимкнув ці розширення та позначив їх як зловмисне програмне забезпечення, тому користувачі більше не можуть встановлювати та отримувати до них доступ. У тому ж ключі корисно, якщо користувач проявив пильність під час встановлення та надання дозволів розширенням і видалив будь-які підозрілі розширення, які він не розпізнає або не використовував протягом тривалого часу.