Google вилучила понад 500 шкідливих розширень Chrome зі свого офіційного веб-магазину після двомісячного розслідування, проведеного дослідником з питань безпеки Джамілою Кая та командою Duo Security Cisco.
Як повідомляє ZDNet, вилучені розширення функціонували шляхом показу зловмисних оголошень (недобросовісної реклами) у сеанси перегляду користувачів.
Шкідливий код, який вводиться розширеннями, активується за певних умов і перенаправляє користувачів на конкретні сайти. У деяких випадках пунктом призначення буде партнерське посилання на офіційні сайти компаній, таких як Macys, Dell або BestBuy.
Але в інших випадках кінцевий пункт призначення посилання може бути шкідливим – наприклад, сайтом, де відбувається завантаження зловмисного програмного забезпечення, або фішинг-сторінкою.
Відповідно до звіту, опублікованого нещодавно, ці розширення Chrome були частиною більш масштабної операції зі зловмисним програмним забезпеченням, яка проводилася принаймні два роки. Дослідницька група також вважає, що злочиння група, яка організувала цю операцію, може бути активною з початку 2010-х.
Відповідальний за виявлення цієї операції – Кая. Дослідник розповів, що він виявив шкідливі розширення під час рутинного полювання на загрозу, коли помітив відвідування шкідливих сайтів, що мають загальну схему URL.
Використовуючи CRXcavator, службу для аналізу розширень Chrome, він виявив початковий кластер розширень, які працюють з майже ідентичною базою кодів, але використовували різні загальні назви та мало інформації про їх справжнє призначення.
“Індивідуально я визначив більше десятка розширень, які мали спільну схему”, – сказав нам Кая. – Зв’язавшись з Duo, ми змогли швидко їх ідентифікувати за допомогою бази даних CRXcavator і виявити всю мережу.”
За словами дослідників Duo, ці перші серії розширень мали загальну кількість встановлень, яка нараховувала понад 1,7 мільйона користувачів Chrome.
“Згодом ми звернулися до Google зі своїми висновками та почали співпрацювати у питаннях видалення шкідливих розширень”, – заявив Джаміла Kaя.
Після власного розслідування фахівці Google знайшли ще більше розширень, що відповідають одній схемі, і загалом компанія заборонила понад 500 розширень. Незрозуміло, скільки користувачів встановили 500+ шкідливих розширень, але їхня кількість, найімовірніше, знаходиться в мільйонному діапазоні.
Мережі зловмисних розширень Chrome виявлялися і в минулі роки. Зазвичай ці розширення включають введення законних рекламних оголошень у сеанс перегляду користувача, при цьому оператори розширення отримують прибуток від показу оголошень. У всіх випадках розширення намагаються бути максимально ненав’язливими, щоб не попереджати користувачів про можливу інфекцію.
У цій схемі виділялося використання “переадресацій”, які часто перенаправляли користувачів від призначених напрямків пошуку інформації дуже агресивним способом, який важко було ігнорувати або залишати непоміченим. Однак у нинішньому стані Інтернету, де багато веб-сайтів використовують подібні рекламні схеми з агресивною рекламою та переадресаціями, багато користувачів навіть не помічають це і вважають, що постійна переадресація – це нормально .
Перелік ідентифікаторів розширень, які були частиною цієї схеми, перелічено у звіті Duo. Коли Google заборонила розширення з офіційного магазину, вона також деактивувала їх у веб-переглядачі кожного користувача, а також позначила розширення як “шкідливе”, щоб користувачі могли знати, як його видалити, а не повторно активувати.
Нагадаємо, популярні поштові додатки для iOS і Android “обробляють” дані з поштових скриньок користувачів і потім продають створені на основі цієї інформації продукти клієнтам у сфері фінансів, туризму та електронної комерції.
Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.
Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.
Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.
До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читайте у статті.