Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ предупреждает о находке специалистов компании LayerX Security. Там эксперты обнаружили сеть из вредоносных расширений под кодовым названием «sleeper agent» («спящий агент») для Chrome и Edge.
По словам специалистов, вредоносная сеть служит инфраструктурой для будущей мошеннической активности и представляет собой упрощенную форму ботнета.
Всего обнаружены четыре расширения, предназначенные якобы для управления звуком веб-страниц с суммарным количеством установок 1,5 млн по всему миру: Volume Max (1 млн), Volume Booster (2 тыс.), Sound Booster (200 тыс.), Volume Master (3 тыс.).
По оценке специалистов компании LayerX, все расширения были разработаны одним и тем же человеком или группировкой. Расширения маскируются под легитимные, однако на самом деле могут выполнять следующие мошеннические и вредоносные действия:
- Открывать в фоновом режиме вкладки в браузере со сторонними страницами и выполнять команды без ведома пользователя, например, загружать вредоносное ПО.
- Загружать внешние конфигурационные файлы для удаленного выполнения команд без появления этих команд в коде, тем самым обходя традиционные методы сканирования.
- Взаимодействовать с вредоносными доменами.
- Шифровать пользовательский трафик.
Также, по данным МВД, с помощью этих расширений злоумышленники могут принудительно показывать пользователям рекламу, выполнять фишинговые атаки с отображением мошеннических форм и перехватывать вводимую информацию. Кроме того, плагины обеспечивают злоумышленникам прямой доступ к ключевой информации пользователя: cookie-файлам, логинам и паролям, истории поиска.
По словам специалистов, такая сеть расширений может служить заменой традиционным ботнетам. Если на создание классических вредоносных сетей (обычно из незащищенных IoT-устройств) уходит много времени, сил и средств, то формирование сети из мошеннических расширений ускоряет и упрощает этот процесс.
Некоторые расширения из опубликованных до сих пор доступны в маркетплейсе Google Store.
Это не первая вредоносная находка в магазине Google Store. Ранее исследователь обнаружил 35 опасных расширений в Chrome с 4+ млн установок. У некоторых из них была метка «Рекомендовано Google».
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
