Стандарт Manifest V3 от Google для разработчиков расширений запрещает им удаленно исполнять код со сторонних серверов. Однако недавние исследования показали, что кибермошенники все еще находят способы обойти эти ограничения, загружая вредоносные расширения в интернет-магазин Chrome и создавая значительные риски для пользователей.
Что обнаружили эксперты
Специалисты по кибербезопасности обнаружили в Google Chrome вредоносные продукты, принадлежащие трем разным разработчикам.
— Phoenix Invicta Inc.
Злоумышленники создали и добавили в Google Chrome несколько вредоносных расширений. На первый взгляд они кажутся полезными, однако на самом деле способны автоматически открывать вкладки с рекламой в фоновом режиме и следить за пользователями.
Они загружают конфигурации с удаленных серверов, которые содержат вредоносные скрипты. Также они злоупотребляют declarativeNetRequest API на платформе Manifest V3, который призван блокировать или изменять сетевые запросы, и удаляют заголовки безопасности с сайтов, что упрощает внедрение вредоносного контента.
Список расширений (в скобках указано количество пользователей, его установивших):
- AdBlock for Youtube: Skip-n-Watch (3000 пользователей)
- SkipAds Plus (95)
- AdBlock — Ads and Youtube (641)
- Manual Finder 2024 (280)
- Volume Booster — Super Sound Booster (8000) и др.
— Technosense Media Pvt. Ltd.
Расширения, связанные с этой компанией, уже давно считаются вредоносными, но по-прежнему доступны в интернет-магазине Chrome. Они следят за пользователями, а также были замечены в мошенничестве с партнерскими программами и манипуляциях с файлами cookie.
— Sweet VPN
Расширения от Sweet VPN — имеют сложную инфраструктуру и загружают подробные инструкции со сторонних серверов. Они способны шпионить за пользователями и совершать мошеннические действия с партнерскими программами.
Какие техники используют мошенники
— Внедрение HTML-кода
Злоумышленники встраивают HTML-код в страницы сайта, которые можно удаленно настроить для включения в них вредоносных скриптов. Это позволяет шпионить за пользователями, размещать рекламу и красть поисковые запросы.
— Злоупотребление declarativeNetRequest API
Данный API предназначен для модификации HTTP-заголовков, которые убирают заголовок ответа Content-Security-Policy. Данный заголовок позволяет распознавать и устранять определённые типы кибератак на сайтах. Однако его удаление упрощает злоумышленникам компрометацию ресурса и внедрение вредоносного контента.
К примеру. По данным исследования от 2021 года, 2485 расширений в Chrome перехватывали и изменяли как минимум один заголовок безопасности, используемый популярными сайтами. Это могут быть заголовки Content-Security Policy (CSP) и HTTP Strict-Transport-Security (HSTS).
— Открытие новых вкладок в браузере
Вредоносные расширения могут открывать в фоновом режиме новые вкладки в браузере и показывать на них попандер-рекламу.
Длительная вредоносная кампания
Данная вредоносная операция длится уже давно и ставит под угрозу пользователей Google Chrome и Microsoft Edge. Злоумышленники размещают рекламу в поиске Google и перенаправляют жертв на фальшивые сайты, обманом принуждая их устанавливать вредоносные расширения.
После установки они способны:
- изменять стартовую страницу в браузере,
- красть историю поисковых запросов,
- перенаправлять пользователей на вредоносные сайты,
- красть историю посещений, логины и пароли, а также другую конфиденциальную информацию,
- удаленно исполнять код для совершения атак.
Их не так легко удалить. Кроме того, они могут не обнаруживаться антивирусными программами.
Что советуют эксперты
Эксперты по кибербезопасности советуют пользователям быть осторожными в сети и проверять программы и расширения, которые они устанавливают на свои устройства. Перед установкой желательно убедиться в подлинности официальных сайтов разработчиков. Можно ориентироваться на отзывы, но при этом фильтровать их.
Регулярно и своевременно обновляйте браузеры и расширения. Проверяйте наличие любых признаков компрометации и удаляйте подозрительное ПО.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
