Команда компании Socket обнаружила в браузере Firefox вредоносные расширения, среди которых фальшивые игры и VPN-сервисы. Обширная мошенническая сеть используется злоумышленниками для злоупотребления пользовательским доверием, кражи атрибуции и данных авторизации, перенаправления трафика через контролируемые прокси.
От простой игры к целой мошеннической сети
То, что начиналось как исследование ничем не примечательного расширения с фальшивой игрой, обернулось обнаружением многолетней мошеннической кампании со сложной схемой монетизации.
Эксперты сообщают, что мошенники замаскировали каждое расширение под популярные и хорошо известные игры: Little Alchemy 2, 1v1.LOL, Krunker io, Five Nights at Freddy’s и Bubble Spinner. Это сделано для того, чтобы пользователи потеряли бдительность и устанавливали на свое устройство вредоносы. Ни одно из расширений на самом деле не является игрой и не обладает таким функционалом.
Вместо стандартного геймплея расширения автоматически перенаправляли пользователей на мошеннические сайты и показывали всплывающие окна, которые уведомляли якобы об обнаружении вируса. Некоторые из них показывали вредоносные всплывающие окна сразу после установки.
Во всплывающих окнах часто отображались несуществующие коды ошибок, например “0x800VDS», и номера фишинговой службы поддержки. Цель мошенников в этом случае заключалась в том, чтобы обманом заставить пользователя раскрыть свои персональные и банковские данные.
Не играми едиными: какие еще вредоносные расширения попались экспертам
В отчете специалистов компании Socket описаны не только игры. Команда также обнаружила более широкую сеть вредоносных расширений.
GimmeGimme, которое крадет партнерские ссылки
Расширение мимикрирует под «Список желаний» для крупных голландских маркетплейсов, таких как bol.com и coolblue.nl. Но на самом деле оно крадет сессии из браузеров пользователей, а также перенаправляет трафик через партнерские ссылки для атрибутирования вознаграждения в свою пользу.
Пользователи неосознанно приносят доход злоумышленникам, в то время как не получают обещанного функционала. Что еще хуже, данная инфраструктура может быть следить за интернет-активностью пользователя, собирать учетные данные или доставлять на устройство вредоносные программы.
Бесплатный VPN Grab A Proxy, который оказался платным прокси-сервером
Расширение предлагает бесплатный VPN, но на самом деле скрытно внедряет код для отслеживания iframe и перенаправляет пользовательский трафик через прокси-сервер, который находится под управлением злоумышленников.
Это открывает двери для атак по типу «человек посередине», кражи конфиденциальных данных и расшифровки HTTPS-трафика.
CalSyncMaster, который крадет токены авторизации
Мимикрирует под расширение для синхронизации с Google Календарем, но на самом деле крадет токены авторизации Google OAuth с помощью управляемых потоков аутентификации. Поскольку украденные токены остаются действительными до тех пор, пока не будут отозваны, шпионская активность может оставаться незамеченной месяцами.
Токены позволяют злоумышленникам следить за личными встречами, корпоративными календарями и даже бизнес-операциями. В дальнейшем мошенники могут использовать эту информацию для социальной инженерии или корпоративного шпионажа.
От мошенничества с партнерскими программами и фишинга до злоупотребления данными авторизации и перехвата трафика — данная мошенническая кампания показывает, что браузерные расширения могут превратиться в полноценные платформы для вредоносных атак.
Рекомендации для пользователей Firefox:
- Проверьте, не установлено ли одно из перечисленных расширений в вашем браузере, и, в случае обнаружения, немедленно удалите.
- Пользователям следует быть осторожными при установке расширений в браузерах и избегать загрузки из непроверенных источников.
- Рекомендуется использовать брандмауэры и анализаторы трафика для защиты от подобных угроз.
- Проверяйте разрешения — доступ к каким настройкам и данным запрашивают и получают расширения. Отзывайте те, которые не нужны для функционала данного расширения.
Это не первый случай опасных расширений, которые мимикрируют под легитимные инструменты, однако на самом деле используются мошенниками для скликивания рекламы, шпионажа и генерации трафика. Например, ранее мы рассказывали о том, что в Chrome и Edge была обнаружена сеть вредоносных расширений с 1,5 млн установок, представляющая собой упрощенную форму ботнета.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
