СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Новости
Артем
3 часа назад
#ИБ

Эксперты обнаружили более 100 вредоносных расширений для браузера Chrome, крадущих аккаунты и перехватывающих данные пользователей

Эксперты обнаружили более 100 вредоносных расширений для браузера Chrome, крадущих аккаунты и перехватывающих данные пользователей

Изображение: Arkan Perdana (unsplash)

В официальном магазине Chrome Web Store нашли больше 100 расширений, которые воруют аккаунты и передают данные пользователей на сторонние серверы. За каждым из них стоит одна группа злоумышленников с общей инфраструктурой управления. Расследование провела компания Socket, которая занимается безопасностью приложений.

Расширения выходили в магазин от разных авторов и попадали в популярные категории. Среди них были панели для работы с Telegram, игровые приложения, утилиты для YouTube и TikTok, переводчики и прочие вспомогательные программы.

Публиковать их от разных имён было нужно для того, чтобы охватить как можно больше пользователей и не вызвать подозрений у модераторов магазина. Все расширения при этом выходили на один и тот же VPS-сервер, через который злоумышленники получали украденные данные, рассылали команды и монетизировали доступ к заражённым браузерам. Часть кода содержала комментарии, по которым исследователи предположили связь кампании с моделью распространения вредоносного ПО как услуги.

78 расширений из обнаруженных встраивали вредоносный HTML-код прямо в интерфейс браузера. Через него страницы менялись незаметно для пользователя, а данные становились доступны атакующим. 54 расширения собирали личную информацию через браузерный API.

Так утекали почта, имя, фотография профиля, идентификатор аккаунта Google и токен OAuth2, с помощью которого можно действовать в сервисах от имени жертвы. 45 расширений стартовали вместе с браузером, сразу устанавливали соединение с сервером управления и могли самостоятельно открывать сайты и выполнять любые команды без участия пользователя.

Одно из расширений целенаправленно охотилось за сессиями Telegram Web. Оно лезло в локальное хранилище браузера, вытаскивало токен активной сессии и отправляло его на сервер злоумышленников. После этого данные в браузере подменялись, и человек автоматически оказывался в чужом аккаунте вместо своего.

Отдельная часть расширений убирала защитные заголовки со страниц, встраивала рекламные блоки в YouTube и TikTok, а запросы пользователей, например при переводе текста, гнала через подконтрольные серверы, где эти данные перехватывались.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: