Расширения были обнаружены специалистами из McAfee.
Аналитики из McAfee обнаружили пять расширений Google Chrome, которые незаметно отслеживают активность пользователей в браузере. В совокупности эти расширения были загружены более 1,4 миллиона раз.
Эти вредоносные расширения подделывают cookie-файлы, если жертва посещает онлайн-маркетплейсы, чтобы казалось, будто пользователь перешел по реферальной ссылке. За такие “переходы” авторы вредоносных расширений получают вознаграждение.
В McAfee перечислили все пять вредоносных аддонов, указав также их идентификаторы:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 загрузок;
Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 загрузок
Full Page Screenshot Capture (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 загрузок;
FlipShope (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 загрузок;
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 загрузок.
Четыре вредоносных аддона в магазине расширений Chrome.
Стоит отметить, что вышеуказанные расширения исправно выполняют свои задачи, что мешает обнаружить вредоносную активность.
Согласно отчету McAfee, все пять расширений имеют общий принцип работы: манифест веб-приложения (файл "manifest.json"), диктует поведение расширения в системе, затем загружает многофункциональный скрипт (B0.js), который отправляет данные активности пользователя в браузере на домен, контролируемый злоумышленниками ("langhort[.]com").
Каждый раз, когда пользователь посещает новый URL, информация отправляется злоумышленнику в виде POST-запросов. Отправляемые сведения включают в себя URL в формате base64, идентификатор пользователя, геолокацию устройства (страна, город, почтовый индекс) и закодированный реферальный URL.
Функция, с помощью которой злоумышленник получает данные пользователя.
Файл B0.js модифицирует или подменяет cookie-файлы. Специалисты McAfee также опубликовали видеоролик, демонстрирующий процесс модификации URL и cookie-файлов в режиме реального времени:
Чтобы избежать обнаружения и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять пользовательские данные на сервер разработчиков.
Задержка в 15 дней перед отправкой данных.
Стоит отметить, что Netflix Party и Netflix Party 2 были удалены из магазина расширений, но не из браузеров пользователей, поэтому их придется удалить вручную.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках