СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:27
#ИБ

152 расширения Chrome маскируют рекламу под органический трафик

Исследование Socket выявило масштабную сеть из 152 Chrome Web Store extensions, связанных с рекламным мошенничеством и манипуляциями с traffic attribution. Совокупно эти расширения были установлены примерно 105 000 раз, распространялись через 38 different publisher accounts и, по данным аналитиков, опирались на общую codebase.

Что обнаружили исследователи

Команда Socket, специализирующаяся на threat research, установила, что значительная часть выявленных extensions относится к категории live wallpapers for new tab. На первый взгляд такие продукты выглядят безобидно, однако их поведение и сопровождающая документация указывают на куда более проблемную схему монетизации.

Особое внимание аналитиков привлекло расхождение между тем, что заявлено в Chrome Web Store, и тем, что содержится в privacy policy. В storefront-описаниях утверждается, что user data не собираются. Однако в реальной policy говорится обратное: фиксируются IP addresses, ISP data, click count и referral information, после чего эти данные передаются рекламным платформам, включая Google AdSense и DoubleClick.

Traffic laundering и подмена метрик

Подмножество из 54 extensions использует технику, известную как traffic laundering. Суть метода заключается в том, что расширения подделывают метрики organic search traffic в Google, маскируя трафик, созданный самими extensions, под настоящие web search queries.

Такая схема искажает аналитику сразу на нескольких уровнях:

  • завышает perceived user engagement;
  • делает extension более привлекательным для advertisers;
  • повышает advertising revenue;
  • загрязняет traffic attribution systems на разных платформах.

Иными словами, речь идет не просто о нарушении правил магазина расширений, а о системной попытке искусственно улучшить показатели популярности и прибыльности.

Как работает схема

По данным исследования, service worker в коде extension настроен таким образом, чтобы отправлять fake organic attribution signals в момент установки. При удалении расширения механизм действует по аналогичному принципу: процесс uninstall маскируется под click on a Google search result, а в analytics operator отправляются ложные данные.

Дополнительно каждый экземпляр этих extensions содержит процедуру, которая перечисляет и удаляет базы данных IndexedDB. В данном случае, как подчеркивают исследователи, эта функция не несет прямого вреда: она затрагивает только собственные базы данных extension и не нацелена на значимые пользовательские данные.

Инфраструктура, рассчитанная на уклонение от обнаружения

Socket отмечает, что инфраструктура за этими extensions выстроена так, чтобы затруднить detection и removal efforts. Каждый operator использует несколько registrations под разными publisher accounts, распределяя один и тот же код между множеством extensions.

Такой подход делает схему устойчивой к блокировкам:

  • если один account удаляется, другие продолжают работать;
  • идентичный codebase распыляется по множеству listings;
  • выявление полной сети требует анализа всей family, а не отдельных экземпляров.

Почему это важно для экосистемы Chrome

Исследование поднимает более широкий вопрос о качестве data collection и attribution в Chrome ecosystem. Противоречивые statements в privacy disclosures демонстрируют явное нарушение policy Chrome Web Store, которое требует, чтобы раскрытия были точными и не вводили пользователей в заблуждение.

Для рекламной экосистемы подобные практики означают не только финансовые потери, но и искажение метрик, на которых строятся решения о размещениях, эффективности кампаний и доверии к publishers.

Что рекомендуется пользователям и специалистам

Исследователи рекомендуют удалить любые extensions, связанные с затронутыми domains, включая:

  • tabplugins.com
  • yowgames.com
  • chromewallpaper.com

Кроме того, пользователям советуют внимательно проверять extensions, которые запрашивают permissions для новой вкладки.

Специалистам по безопасности, в свою очередь, рекомендуется фокусироваться не на отдельных случаях, а на более широком footprint таких families of extensions. Массовое производство и распределение через множество publisher accounts делают эту угрозу особенно устойчивой и трудноустранимой.

Вывод: расследование Socket показывает, что даже внешне безобидные Chrome extensions могут быть частью масштабной схемы рекламного мошенничества, нацеленной на подмену трафика, манипуляцию аналитикой и увеличение рекламных доходов за счет пользователей и платформ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: