Google Chrome атакують: чи використовували ви одне з цих зламаних розширень?

Зловмисники використовували розробників для фішингу, щоб скомпрометувати розширення Chrome і розповсюджувати рекламу партнерських програм, яка лякає жертв і змушує їх платити за ремонт ПК.

Дослідник Proofpoint Kafeine виявив шість скомпрометованих розширень Chrome, які нещодавно змінив зловмисник після фішингу облікових даних облікового запису Google розробника.

Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, Copyfish 2.8.5, Web Paint 1.2.1 і Social Fixer 20.1.1 були зламані наприкінці липня та на початку серпня. Kafeine вважає, що TouchVPN і Betternet VPN також були створені наприкінці червня за тією ж технологією.

Розробники кількох розширень усунули загрозу в останніх оновленнях додатків, уражених ними Веб-розробник, Copyfish, Chrometana, і Соціальний фіксатор.

Основною метою атаки на розробників розширень Chrome є перенаправлення користувачів Chrome до партнерських програм і замінити легітимну рекламу шкідливою, щоб зрештою отримати гроші для зловмисника реферали.

Зловмисники також збирали облікові дані користувачів Cloudflare, служби доступності для операторів веб-сайтів, які, ймовірно, можуть бути використані в майбутніх атаках.

Викрадені розширення були закодовані здебільшого для заміни рекламних банерів на веб-сайтах для дорослих, а також для ряду інших сайтів, а також для крадіжки трафіку з законних рекламних мереж.

«У багатьох випадках жертви отримували фальшиві сповіщення JavaScript, які спонукали їх відремонтувати свій комп’ютер, а потім перенаправляли їх до партнерських програм, від яких зловмисники могли отримати вигоду», примітки Кафеїн.

Рекламується принаймні одна з партнерських програм, які отримують захоплений трафік PCKeeper, інструмент, орієнтований на Windows, спочатку від ZeobitLLC, виробника продукту безпеки MacKeeper, який був предметом колективний позов кілька років тому через неправдиві заяви про безпеку.

Фрагмент JavaScript у скомпрометованих розширеннях також завантажив файл, який обслуговував Cloudflare, який містив код зі сценарієм, призначеним для збору облікових даних користувача Cloudflare після входу. Cloudflare припинив обслуговування файлу після того, як Proofpoint попередив про проблему.

Фішингові електронні листи, які зламали облікові записи Google розробників, нібито надійшли з веб-магазину Chrome від Google команда, яка стверджувала, що розширення розробника не відповідає його політикам і буде видалено, якщо проблема не буде фіксований.

як Bleeping Computer нещодавно повідомив, команда безпеки Google надіслала електронною поштою попередження розробникам розширень Chrome, щоб вони були напоготові щодо фішингових атак. Зловмисники створили переконливу копію сторінки входу в обліковий запис Google.

Це не перший випадок, коли розширення Chrome націлені на поширення рекламного програмного забезпечення та просування партнерських мереж. У 2014 році рекламні фірми купив кілька популярних розширень Chrome від законних розробників, яка до цього моменту підтримувала надійні продукти.

Попереднє та супутнє покриття

Компанії купують популярні розширення Chrome для введення зловмисного програмного забезпечення та реклами

Чи пропонують компанії рекламного програмного забезпечення вигідні угоди для придбання популярних розширень Chrome і довіри користувачів розширення?

Як освоїти Google Chrome

Основні поради та підказки, які вам знадобляться, якщо ви хочете освоїти Google Chrome.

Докладніше про безпеку Chrome

• Недовіра Symantec до Chrome почнеться з квітня 2018 року
• Крадіжка облікових даних Windows 10: Google працює над виправленням недоліку Chrome
• Google затягує петлю щодо HTTP: Chrome буде вставляти «Не захищено» на сторінки з полями пошуку
• Google для користувачів Apple: ми посилюємо захист від зловмисного програмного забезпечення для Chrome на macOS
• Chrome попереджатиме, коли незахищені веб-сайти розкривають ваші паролі (CNET)
• Поради щодо безпеки Google Chrome для душевних параноїків (TechRepublic)