Підроблений Flash Player виявили фахівці з кібербезпеки підрозділу ElevenPaths компанії Telefonica в офіційному каталозі Chrome Web Store. Про це йдеться у блозі ElevenPaths.

Як зазначають фахівці, шкідливе розширення Flash Reader здатне викрадати інформацію про банківські картки користувачів.

Шкідливою програмою, яку завантажили до каталогу ще в лютому 2018 року, встигли скористатися близько 400 осіб.

Експерти розповідають, що спочатку розширення поширювалося через тепер недоступну сторінку http://fbsgang[.]info/flashplayer/, на яку злочинці, очевидно, перенаправляли трафік своїх жертв, постраждалих від шкідливої реклами або експлойт-китів.

Для обману користувачів зловмисники використовували класичний привід: жертви отримували повідомлення про необхідність терміново встановити Flash для продовження роботи. Для цього пропонувалося перейти за посиланням, яке вело на сторінку Flash Reader в Chrome Web Store.

Шкідливе розширення здатне було перехоплювати будь-який контент, який користувач вводив у різні форми на будь-яких сайтах. “Особливо” шкідника цікавили номери банківських карток Visa, Mastercard, American Express і Discovery.

Як тільки програма виявляла інформацію про карту, зібрані дані передавалися на керуючий сервер http://fbsgang[.]info/cc/gate.php, який на даний час недоступний.

Варто відзначити, Flash Reader збирав інформацію тільки про номери карток, ігноруючи імена власників, CVV-коди та інші дані.

На момент опублікування звіту ElevenPaths 15 січня 2019 року шкідливе розширення було представлено в офіційному каталозі Chrome Web Store. На даний час інженери Google вже видалили “шкідника”.

Зважаючи на те, що розширення було встановлено всього 400 користувачами, експерти припускають, що Flash Reader був лише тестовим інструментом невідомих хакерів, які готувалися до більш серйозної кампанії.