Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Расширения были обнаружены специалистами из McAfee.

Аналитики из McAfee обнаружили пять расширений Google Chrome, которые незаметно отслеживают активность пользователей в браузере. В совокупности эти расширения были загружены более 1,4 миллиона раз.

Эти вредоносные расширения подделывают cookie-файлы, если жертва посещает онлайн-маркетплейсы, чтобы казалось, будто пользователь перешел по реферальной ссылке. За такие “переходы” авторы вредоносных расширений получают вознаграждение.

В McAfee перечислили все пять вредоносных аддонов, указав также их идентификаторы:

  • Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 загрузок;

  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 загрузок

  • Full Page Screenshot Capture (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 загрузок;

  • FlipShope (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 загрузок;

  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 загрузок.


Четыре вредоносных аддона в магазине расширений Chrome.

Стоит отметить, что вышеуказанные расширения исправно выполняют свои задачи, что мешает обнаружить вредоносную активность.

Согласно отчету McAfee, все пять расширений имеют общий принцип работы: манифест веб-приложения (файл "manifest.json"), диктует поведение расширения в системе, затем загружает многофункциональный скрипт (B0.js), который отправляет данные активности пользователя в браузере на домен, контролируемый злоумышленниками ("langhort[.]com").

Каждый раз, когда пользователь посещает новый URL, информация отправляется злоумышленнику в виде POST-запросов. Отправляемые сведения включают в себя URL в формате base64, идентификатор пользователя, геолокацию устройства (страна, город, почтовый индекс) и закодированный реферальный URL.


Функция, с помощью которой злоумышленник получает данные пользователя.

Файл B0.js модифицирует или подменяет cookie-файлы. Специалисты McAfee также опубликовали видеоролик, демонстрирующий процесс модификации URL и cookie-файлов в режиме реального времени:

Чтобы избежать обнаружения и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять пользовательские данные на сервер разработчиков.


Задержка в 15 дней перед отправкой данных.

Стоит отметить, что Netflix Party и Netflix Party 2 были удалены из магазина расширений, но не из браузеров пользователей, поэтому их придется удалить вручную.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!