×

Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Расширения были обнаружены специалистами из McAfee.

Аналитики из McAfee обнаружили пять расширений Google Chrome, которые незаметно отслеживают активность пользователей в браузере. В совокупности эти расширения были загружены более 1,4 миллиона раз.

Эти вредоносные расширения подделывают Файл cookie — это информация, которую веб-сайт размещает на компьютере пользователя. Файлы cookie хранят ограниченную информацию о сеансе веб-браузера на данном веб-сайте, которую затем можно получить и использовать в будущем.

" data-html="true" data-original-title="Cookie">cookie-файлы, если жертва посещает онлайн-маркетплейсы, чтобы казалось, будто пользователь перешел по реферальной ссылке. За такие “переходы” авторы вредоносных расширений получают вознаграждение.

В McAfee перечислили все пять вредоносных аддонов, указав также их идентификаторы:


Четыре вредоносных аддона в магазине расширений Chrome.

Стоит отметить, что вышеуказанные расширения исправно выполняют свои задачи, что мешает обнаружить вредоносную активность.

Согласно отчету McAfee, все пять расширений имеют общий принцип работы: манифест веб-приложения (файл "manifest.json"), диктует поведение расширения в системе, затем загружает многофункциональный скрипт (B0.js), который отправляет данные активности пользователя в браузере на домен, контролируемый злоумышленниками ("langhort[.]com").

Каждый раз, когда пользователь посещает новый URL, информация отправляется злоумышленнику в виде POST-запросов. Отправляемые сведения включают в себя URL в формате base64, идентификатор пользователя, геолокацию устройства (страна, город, почтовый индекс) и закодированный реферальный URL.


Функция, с помощью которой злоумышленник получает данные пользователя.

Файл B0.js модифицирует или подменяет cookie-файлы. Специалисты McAfee также опубликовали видеоролик, демонстрирующий процесс модификации URL и cookie-файлов в режиме реального времени:

Чтобы избежать обнаружения и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять пользовательские данные на сервер разработчиков.


Задержка в 15 дней перед отправкой данных.

Стоит отметить, что Netflix Party и Netflix Party 2 были удалены из магазина расширений, но не из браузеров пользователей, поэтому их придется удалить вручную.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.