Эксперты компании Socket обнаружили более 100 расширений, принадлежащих пяти аффилированным разработчикам. Как выяснили исследователи, расширения крали данные Google-аккаунтов и Telegram-сессии. Пострадали 20 тыс. пользователей.
Все расширения были связаны с одним C2-сервером. Исследователи считают, что это была скоординированная кампания с единым управлением.
Все они были размещены в самых разных категориях: сторонние клиенты Telegram Web, азартные игры, оптимизаторы для YouTube и TikTok, инструменты для перевода текста и другие утилиты. Через размещение плагинов в разных тематиках злоумышленники попытались охватить как можно больше пользователей.
Три категории вредоносных расширений
Специалисты по кибербезопасности, которые обнаружили вредоносную кампанию, разделили расширения на три категории. У каждой была своя область интересов и технические особенности:
1. 78 расширений для внедрения кода с рекламой — самый большой кластер
С помощью них злоумышленники внедряли HTML-код в пользовательский интерфейс, используя свойство innerHTML. Таким образом они манипулировали содержимым сайтов и показывали рекламные объявления.
2. 54 расширения для злоупотребления токенами
Предназначались для злоупотребления API-токенами chrome.identity.getAuthToken и собирали пользовательские данные: email, ФИО, фото профиля и ID аккаунта Google. Самое опасное, расширения крали Google OAuth2 Bearer token — токен, который позволяет приложениям получать доступ к данным пользователя и действовать от его имени.
3. 45 расширений-бэкдоров
Содержали бэкдор, который мог открывать произвольные URL без участия пользователя при запуске браузера по команде с C2-сервера. Так злоумышленники направляли браузер по вредоносным или монетизируемым адресам.
Кража телеграм-сессий, заголовков и других данных
Фейковые клиенты для Telegram Web извлекали сессионные данные каждые 15 секунд и отправляли их на C2-сервер. Таким образом мошенники могли менять активную сессию Telegram жертвы на другую, эффективно перехватывая сеанс без ведома жертвы, необходимости вводить пароли или проходить многофакторную аутентификацию.
В YouTube и TikTok злоумышленники удаляли заголовки безопасности ещё до отрисовки содержимого страницы, такие как Content Security Policy, X-Frame-Options и CORS, и внедряли оверлеи с азартными играми и рекламой.
Некоторые расширения и вовсе внедряли скрипты с мошенническим контентом на каждую страницу, посещаемую пользователем, что еще больше расширяло возможности атаки.
В заключение
Технические показатели кампании, включая общую серверную инфраструктуру и повторное использование кода, указывают на скоординированную работу. Эксперты предполагают, что она могла длиться задолго до обнаружения.
Злоумышленники, которые стоят за этой мошеннической операцией, показали высокий уровень технической грамотности и использования сложных схем для обмана пользователей. Эксперты приводят список разработчиков аффилированных расширений: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt.
Исследователи, которые обнаружили вредоносные расширения, рекомендуют пользователям немедленно удалить их из Chrome со всех устройств, если они были установлены. Желательно выйти из аккаунта в Telegram через мобильное приложение. Пользователи также должны просмотреть и отозвать все подозрительные или ненужные разрешения OAuth2, предоставленные сторонним приложениям, через настройки безопасности своего Google-аккаунта.
Похожие материалы по теме:
- Zscaler: за год пользователи скачали из Google Play вредоносные приложения 42 млн раз
- Фрод промышленных масштабов: мошенники создали ботнет SlopAds, распространяя вредоносные приложения через Google Play
- Массовая угроза: в Google Play обнаружено 331 вредоносное приложение
Подписывайтесь на наш канал в Telegram: рассказываем про реальные истории угроз, наши инструменты, факты о мошенничестве с рекламой и не только.
