04.03.2021

Три миллиона зараженных: в Chrome и Edge нашли опасные расширения

ИБ-исследователи компании Avast предупредили пользователей браузеров Chrome и Edge об опасных расширениях, которые помимо своей основной функции могут похищать персональные данные, а также перенаправлять на фишинговые сайты. От использования каких плагинов лучше воздержаться, чтобы не стать жертвой хакеров — в материале «Газеты.Ru».

По меньшей мере 28 расширений для браузеров Google Chrome и Microsoft Edge оказались заражены вредоносным ПО, предупреждают специалисты ИБ-компании Avast. В основном речь идет о плагинах, позволяющих скачивать контент из популярных социальных сетей и онлайн-платформ — Universal Video Downloader, Instagram Download Video & Image, Video Downloader for Facebook, Vimeo Video Downloader, Spotify Music Downloader, Video Downloader for YouTube, SoundCloud Music Downloader и других.

Также в списке зараженных расширений оказались VK UnBlock. Works fast и Odnoklassniki UnBlock. Works quickly, которые позволяют пользователям из Украины заходить в российские соцсети, доступ к которым заблокирован на территории страны.

Как сообщают исследователи Avast, вредоносные программы, внедренные в эти плагины, обладают возможностью похищать пользовательские данные.

Кроме того, зловредное ПО может перенаправлять юзеров на фишинговые сайты — каждый раз при нажатии на ссылку расширения отправляют информацию о щелчке на командный сервер злоумышленника. Далее хакер может дополнительно отправить команду для перенаправления человека с реальной ссылки на новый захваченный URL-адрес, и только потом отправляет жертву на тот сайт, на который она изначально планировала.  
 
Эта ставит под угрозу конфиденциальность пользователя, поскольку на эти сторонние сайты-посредники отправляется журнал всех кликов. Хакеры также извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию и даже IP-адреса –– они могут быть использованы, чтобы найти примерное географическое местоположение жертвы.

Согласно статистике об установках, в данный момент около 3 млн человек по всему миру могут пользоваться зараженными расширениями.

«Мы предполагаем, что либо расширения были специально созданы с использованием встроенного вредоносного ПО, либо авторы дождались, пока расширения станут популярными, а затем выпустили обновление, содержащее вредоносное ПО. Также возможно, что разработчики продали оригинальные расширения кому-то еще после их создания, а затем покупатель создал вредоносное ПО», –– отмечает Ян Рубин, исследователь вредоносного ПО в Avast.

Команда Avast обнаружила угрозу в ноябре 2020 года, но не исключает, что она могла быть активной на протяжении многих лет, оставаясь незамеченной. Известно, что зараженные плагины трудно выявить, так как у них есть способность «прятаться».

«Бэкдоры расширений хорошо скрыты, и расширения начинают проявлять вредоносную активность только через несколько дней после установки: это усложняет задачу для любого решения безопасности», –– добавляет Ян Рубин. 

На момент написания заметки зараженные расширения все еще доступны для скачивания. Avast уже связался с Microsoft и Google, сообщив компаниям об угрозе. Пока проблема с опасными плагинами не решена, эксперты рекомендуют отключить их или удалить из браузера.