Експерти Duo Security виявили в Chrome Web Store більше 500 потенційно шкідливих розширень для Google Chrome. Розширення завантажували історію переглядів веб-сторінок непомітно для користувачів на сторонні сервери.
Спочатку експерти з кібербезпеки за допомогою інструменту CRXcavator виявили 70 таких розширень із загальним числом установок понад 1,7 млн. Даний інструмент Duo Labs створила на початку минулого року і вже не раз використовувала при аналізі. Інформацію передали в Google і вже при спільній роботі знайшли і видалили ще 430 шкідливих розширень. Повний список представлений в публікації.
Розширення відстежували історію переглядів користувачів, а потім завантажували її на сервери зловмисників. В результаті інформація використовувалася в рекламних цілях.
Практично всі 500 плагінів працювали схожим чином, і всі вони перенаправляли користувачів на сайти рекламодавців, причому, відомих мереж і брендів Macy’s, Dell і Best Buy. Однак в деяких випадках відбувалося перенаправлення на шкідливі і фішингові сайти. Деякі шкідливі розширення були з безпосередньо пов’язані з програмами Mapstrek (має можливість відкривати буфер обміну) і ПЗ Arcadeyum (зчитує пов’язані з термінальною службою ключі і отримує доступ до потенційно важливої інформації з локальних браузерів).
Фото: duo.com
Приклад команд, які хост одержує від сайтів, витягнутих з пам’яті на порушнику хості.
Фото: duo.com
Модулі перенаправили браузери на один з декількох жорстко заданих керуючих серверів, щоб отримати додаткові інструкції, місця для завантаження даних, списки каналів реклами і домени для майбутніх перенаправлень. Заражені браузери потім завантажували для користувача дані, оновлювали конфігурації плагінів і передавали потік перенаправлень сайтів.
Всі сайти, крім одного, використовувані в схемі, що раніше не класифікувалися як шкідливі або шахрайські з боку служб розвідки загроз. Винятком був штат Міссурі, в якому DTSINCE [.] Com, один з небагатьох жорстко запрограмованих серверів управління, був вказаний як фішинговий сайт.
Google почала заходи по боротьбі з шкідливими розширеннями для Chrome після виявлення програм, які порушують політику виробників браузерів. Компанія заявила, що «виявила значне збільшення кількості шахрайських транзакцій, пов’язаних з платними розширеннями Chrome, метою яких є використання користувачів». В Google попередили, що для видалення нав’язливих і зловмисних розширень вони вводять більш суворі правила: «Дозволи вашого розширення повинні бути якомога вужчими, а весь ваш код повинен бути включений безпосередньо в пакет розширення, щоб мінімізувати час перевірки».
Днями Google вирішила видалити з інтернет-магазину Chrome розширення диспетчера паролів Dashlane через проблеми з «конфіденційністю призначених для користувача даних і використанням дозволів». Розширення диспетчера дозволяють управляти своїми додатками, темами, змінювати налаштування конфіденційності і так далі. При цьому у Dashlane понад 3 млн клієнтів. Зараз компанії спільно вирішують проблему, а поки диспетчер повернули в магазин Chrome.
З березня Google перестане приймати нові додатки Chrome Apps . Однак розширення Chrome для браузера продовжать працювати.