Новости Осторожней с пиратскими играми: как вредоносные VPN-расширения крадут данные из Google Chrome

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Программы набрали уже более 1,5 миллиона скачиваний в Chrome Web Store.


zjcgh1k7912k6itiab2l95dqf9jyylxg.jpg


Эксперты из компании Для просмотра ссылки Войди или Зарегистрируйся обнаружили три вредоносных расширения для браузера Google Chrome , маскирующихся под сервисы виртуальных частных сетей ( VPN ). Эти программы, которые использовались для перехвата сессий, взлома систем кэшбэка и кражи данных, были загружены из официального магазина более чем 1,5 миллиона раз.

Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения.

Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).

Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.

Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.

Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.

Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.

В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.

Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.

Этот инцидент обращает внимание специалистов на серьезные проблемы безопасности, связанные с расширениями для веб-браузеров. Многие из этих программ хорошо замаскированы, что значительно усложняет их обнаружение. Пользователям рекомендуют регулярно следить за отзывами в Chrome Web Store, чтобы быть в курсе любых сообщений о подозрительной или вредоносной активности.
 
Источник новости
www.securitylab.ru