Программа внедряет код JavaScript на каждую web-страницу, посещаемую пользователем.
Специалисты компании Malwarebytes обнаружили поддельное расширение Evernote, которое заваливает пользователей браузера Google Chrome ненужной рекламой посредством внедрения кода JavaScript в каждую страницу, которую посещает пользователь.
На первый взгляд кажется, что всплывающие окна и рекламные объявления размещены на web-сайте, который посещает пользователь, однако на самом деле их генерирует поддельное расширение Evernote.
Эксперты Malwarebytes обнаружили уязвимость в исполняемом файле PUP.EXE, который и устанавливает поддельную программу. По словам аналитика компании Джошуа Кэннелла (Joshua Cannell) после запуска файл устанавливает web-расширение для браузеров Google Chrome, Torch и Comodo Dragon. Расширение представляет собой три обфусцированных файла JavaScript и один файл HTML.
Установка web-расширения для Google Chrome достигается путем обновления файла настроек (Preferences). Поддельное расширение носит то же название, что и настоящее - Evernote Web и использует тот же ID "lbfehkoinhhcknnbdgnnmjhiladcgbol". Кроме того, при переходе по ссылке «Visit website», пользователь попадает на официальную web-страницу Evernote.
Таким образом, Google Chrome воспринимает установленное расширение как настоящее и предлагает запустить его. Однако при запуске поддельной программы ничего не происходит, в то время как при запуске обычного расширения появляется экран входа в Evernote. По словам Кэннелла, происходит это из-за того, что расширение использует контентный скрипт, выполняемый в контексте страницы, которую просматривает пользователь. Используя манифест расширения (manifest.json), контентный скрипт гарантированно загружается на каждую страницу. В результате, при просмотре web-страниц, пользователи видят серию раздражающих рекламных объявлений.
Удалить поддельное расширение достаточно просто. Нужно всего лишь открыть страницу расширений Chrome и кликнуть на иконке мусорной корзины, которая находится рядом с расширением Evernote.
Ладно, не доказали. Но мы работаем над этим