Как вредоносные расширения воруют криптовалюту, угоняют аккаунты в играх и соцсетях, подделывают результаты поиска и показывают навязчивую рекламу.
Мы часто пишем о том, что браузерные расширения могут быть очень опасны. Чтобы проиллюстрировать этот факт, мы решили сделать отдельный материал. В этом посте мы поговорим о самых интересных, самых необычных, самых массовых и самых опасных случаях 2023 года, когда пользователи сталкивались с вредоносными расширениями. А также о том, на что эти расширения были способны, — и, конечно же, о том, как защититься от подобных неприятностей.
Расширения были предназначены для поиска определенного игрока на серверах Roblox. Однако основным их предназначением был угон аккаунтов игроков Roblox и кража их внутриигровой собственности. После того как информация о вредоносных расширениях
Вредоносные расширения SearchBlox, опубликованные в Google Chrome Web Store, угоняли аккаунты игроков Roblox
Однако история с Roblox на этом не заканчивается: в августе 2023 года в Chrome Web Store были обнаружены еще два вредоносных расширения похожей направленности —
Вредоносное расширение RoTracker, также размещенное в Google Chrome Web Store
Это говорит о том, что качество модерации на самой официальной в мире площадке для скачивания расширений для браузера Google Chrome оставляет желать лучшего, и создателям вредоносных расширений достаточно несложно проталкивать в Chrome Web Store свои творения. А для того, чтобы модераторы заметили опасные расширения и убрали их из магазина, как правило, недостаточно отзывов пострадавших пользователей — для этого часто требуются усилия медиа, исследователей безопасности или какого-нибудь крупного сетевого сообщества.
Зараженное расширение ChatGPT For Google было загружено в Chrome Web Store 14 февраля 2023 года. Некоторое время его создатели выжидали, а активное распространение начали лишь месяц спустя, 14 марта 2023 года. Для этого они использовали рекламные объявления в поиске Google. И не без успеха — им удавалось привлекать примерно по тысяче новых пользователей в день, так что к моменту обнаружения угрозы расширение успело набрать более 9000 загрузок.
Зараженная версия расширения ChatGPT For Google выглядела совсем как настоящая
Троянизированная копия ChatGPT For Google работала точно так же, как настоящая, но в нее была добавлена вредоносная функциональность: зараженная версия включала дополнительный код, предназначенный для похищения сохраненных браузером сессионных куки-файлов Facebook*. Используя эти файлы, злоумышленники получали возможность угнать аккаунты Facebook* у пользователей, установивших зараженное расширение.
А затем скомпрометированные аккаунты могли использоваться для чего-то противозаконного. В качестве примера исследователи
В другом случае злоумышленники создали полностью оригинальное расширение под названием Quick access to Chat GPT. Собственно, расширение делало то, что обещало: позволяло пользователю общаться с ChatGPT, по сути выступая посредником между ним и AI-сервисом, используя для связи официальную API ChatGPT. Но основным его предназначением была опять-таки кража сессионных куки-файлов Facebook*, которые позволяли создателям вредоносного расширения угонять бизнес-аккаунты Facebook*.
Вредоносное расширение Quick access to Chat GPT
Что особенно интересно, для продвижения вредоносного расширения злоумышленники использовали рекламу в самом Facebook*, оплаченную… за счет тех бизнес-аккаунтов, которые им уже удалось угнать! Таким незамысловатым образом создателям Quick access to Chat GPT удавалось привлекать по паре тысяч новых пользователей в день. В итоге оба вредоносных расширения были убраны из магазина.
Это расширение, в свою очередь, показывает в браузере навязчивую рекламу и подменяет поисковую выдачу, подставляя в нее ссылки, ведущие на фейковые раздачи призов, опросы, сайты знакомств, игры для взрослых, нежелательное программное обеспечение и так далее.
В качестве приманки в этом году ChromeLoader использует разнообразный пиратский контент. Например,
Через несколько месяцев,
Один из сайтов, распространявших под видом пиратского контента зловред ChromeLoader
Хотя из-за подмены результатов поиска жертвам достаточно легко заподозрить неладное и обнаружить в браузере опасное расширение, избавиться от него не так-то просто. Дело в том, что ChromeLoader не только устанавливает вредоносное расширение, но и добавляет в систему скрипты и задачи планировщика заданий Windows, которые переустанавливают расширение при каждой перезагрузке системы.
Атака начинается с электронных писем, которые взломщики адресно рассылают интересующим их персонам. В письме содержится ссылка на вредоносное расширение под названием AF, а также текст, который убеждает жертву это расширение установить. Расширение начинает действовать, когда жертва открывает Gmail в браузере, в котором оно установлено, — после этого AF автоматически отправляет переписку жертвы на командный сервер злоумышленников.
Таким образом Kimsuky, с одной стороны, удается получить доступ к содержимому почтового ящика жертвы. А с другой — им не требуется прибегать к каким-то хитростям для взлома этого ящика и, в частности, для обхода двухфакторной аутентификации. В качестве приятного бонуса такой метод позволяет сделать все максимально незаметно — в частности, избежать предупреждений жертве от Google о входе в аккаунт с нового устройства и из подозрительной локации, как это было бы при краже пароля от аккаунта.
Кроме того, это расширение собирает и отправляет на командный сервер историю браузера и умеет делать скриншоты по команде злоумышленников. Но самое интересное умение Rilide — это возможность обхода двухфакторной аутентификации.
Когда расширение замечает, что пользователь собирается совершить криптовалютную транзакцию на одном из онлайн-сервисов, оно вставляет на страницу скрипт, подменяющий диалог ввода кода подтверждения, и ворует этот код. Кошелек получателя платежа при этом подменяется на тот, который принадлежит злоумышленникам, — далее, используя украденный код, расширение подтверждает транзакцию от имени пользователя.
Как в Twitter продвигали вредоносное расширение Rilide под видом криптоигр
Rilide атакует пользователей браузеров на базе Chromium — Chrome, Edge, Brave и Opera, — имитируя легитимное расширение Google Drive, чтобы не вызывать подозрений. Судя по всему, Rilide свободно продается на черном рынке, так что его используют не связанные друг с другом напрямую злоумышленники. По этой причине разнообразных способов распространения было обнаружено достаточно много — от вредоносных сайтов и электронных писем до зараженных установщиков
Из особенно интересных вариантов распространения Rilide следует отметить
Пошаговая инструкция по самостоятельной установке вредоносного расширения под видом презентации по безопасности для сотрудников компании Zendesk
Причем расширения были добавлены в магазин еще в 2021 и 2022 годах, так что к моменту обнаружения они присутствовали в Chrome Web Store от нескольких месяцев до года и более. Среди отзывов в магазине к некоторым из расширений были даже жалобы бдительных пользователей, рассказывавших, что расширения подменяют адреса в поисковой выдаче на рекламные. К сожалению, модераторами Chrome Web Store эти жалобы были проигнорированы — вредоносные расширения начали убирать из магазина только после того, как внимание сотрудников Google на проблему обратили две группы исследователей безопасности.
Самое популярное из обнаруженных вредоносных расширений — Autoskip for Youtube — имело более 9 миллионов загрузок из Google Chrome Web Store
Поэтому стоит позаботиться о защите:
Мы часто пишем о том, что браузерные расширения могут быть очень опасны. Чтобы проиллюстрировать этот факт, мы решили сделать отдельный материал. В этом посте мы поговорим о самых интересных, самых необычных, самых массовых и самых опасных случаях 2023 года, когда пользователи сталкивались с вредоносными расширениями. А также о том, на что эти расширения были способны, — и, конечно же, о том, как защититься от подобных неприятностей.
Расширения для Roblox с бэкдором
Чтобы задать тон и обозначить одну из главных проблем, связанных с опасными расширениями, начнем с истории, которая стартовала еще в прошлом году. В ноябре 2022 года в Chrome Web Store — официальном магазине расширений для браузера Chrome, принадлежащем Google, —
Для просмотра ссылки необходимо нажать
Вход или Регистрация
два вредоносных расширения с одинаковым названием SearchBlox. У одного из этих расширений было более 200 000 загрузок.Расширения были предназначены для поиска определенного игрока на серверах Roblox. Однако основным их предназначением был угон аккаунтов игроков Roblox и кража их внутриигровой собственности. После того как информация о вредоносных расширениях
Для просмотра ссылки необходимо нажать
Вход или Регистрация
на Bleeping Computers, они были убраны из Chrome Web Store, а также автоматически удалены с устройств тех пользователей, которые их установили.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Вредоносные расширения SearchBlox, опубликованные в Google Chrome Web Store, угоняли аккаунты игроков Roblox
Однако история с Roblox на этом не заканчивается: в августе 2023 года в Chrome Web Store были обнаружены еще два вредоносных расширения похожей направленности —
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Как и SearchBlox, эти плагины предлагали пользователям возможность поиска других игроков на серверах Roblox, но в реальности в них был встроен бэкдор. Сообществу пользователей Roblox в итоге удалось добиться того, чтобы эти расширения также убрали из магазина.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Вредоносное расширение RoTracker, также размещенное в Google Chrome Web Store
Это говорит о том, что качество модерации на самой официальной в мире площадке для скачивания расширений для браузера Google Chrome оставляет желать лучшего, и создателям вредоносных расширений достаточно несложно проталкивать в Chrome Web Store свои творения. А для того, чтобы модераторы заметили опасные расширения и убрали их из магазина, как правило, недостаточно отзывов пострадавших пользователей — для этого часто требуются усилия медиа, исследователей безопасности или какого-нибудь крупного сетевого сообщества.
Фейковые расширения ChatGPT угоняли аккаунты Facebook*
В марте 2023 года с разницей в несколько дней в Google Chrome Web Store были
Для просмотра ссылки необходимо нажать
Вход или Регистрация
сразу
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, которые использовали волну хайпа, поднявшегося вокруг AI-сервиса ChatGPT. В одном из описанных случаев это была зараженная копия настоящего расширения ChatGPT For Google, предлагающего интеграцию ответов сервиса ChatGPT в результаты поиска популярных поисковых систем.Зараженное расширение ChatGPT For Google было загружено в Chrome Web Store 14 февраля 2023 года. Некоторое время его создатели выжидали, а активное распространение начали лишь месяц спустя, 14 марта 2023 года. Для этого они использовали рекламные объявления в поиске Google. И не без успеха — им удавалось привлекать примерно по тысяче новых пользователей в день, так что к моменту обнаружения угрозы расширение успело набрать более 9000 загрузок.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Зараженная версия расширения ChatGPT For Google выглядела совсем как настоящая
Троянизированная копия ChatGPT For Google работала точно так же, как настоящая, но в нее была добавлена вредоносная функциональность: зараженная версия включала дополнительный код, предназначенный для похищения сохраненных браузером сессионных куки-файлов Facebook*. Используя эти файлы, злоумышленники получали возможность угнать аккаунты Facebook* у пользователей, установивших зараженное расширение.
А затем скомпрометированные аккаунты могли использоваться для чего-то противозаконного. В качестве примера исследователи
Для просмотра ссылки необходимо нажать
Вход или Регистрация
аккаунт Facebook*, принадлежавший производителю домов на колесах, который после угона начал публиковать контент ИГИЛ**В другом случае злоумышленники создали полностью оригинальное расширение под названием Quick access to Chat GPT. Собственно, расширение делало то, что обещало: позволяло пользователю общаться с ChatGPT, по сути выступая посредником между ним и AI-сервисом, используя для связи официальную API ChatGPT. Но основным его предназначением была опять-таки кража сессионных куки-файлов Facebook*, которые позволяли создателям вредоносного расширения угонять бизнес-аккаунты Facebook*.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Вредоносное расширение Quick access to Chat GPT
Что особенно интересно, для продвижения вредоносного расширения злоумышленники использовали рекламу в самом Facebook*, оплаченную… за счет тех бизнес-аккаунтов, которые им уже удалось угнать! Таким незамысловатым образом создателям Quick access to Chat GPT удавалось привлекать по паре тысяч новых пользователей в день. В итоге оба вредоносных расширения были убраны из магазина.
ChromeLoader: пиратский контент с вредоносными расширениями внутри
Часто создатели вредоносных расширений не размещают их в Google Chrome Web Store, а распространяют каким-либо другим образом. Например, в начале этого года была замечена новая вредоносная кампания уже достаточно хорошо известного исследователям зловреда ChromeLoader. Основное предназначение этого трояна — установка вредоносного расширения в браузере жертвы.Это расширение, в свою очередь, показывает в браузере навязчивую рекламу и подменяет поисковую выдачу, подставляя в нее ссылки, ведущие на фейковые раздачи призов, опросы, сайты знакомств, игры для взрослых, нежелательное программное обеспечение и так далее.
В качестве приманки в этом году ChromeLoader использует разнообразный пиратский контент. Например,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
года исследователи рассказали о распространении ChromeLoader в интернете через
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(один из форматов образа диска), маскирующиеся под взломанные игры или «кряки» для игр. Среди использованных распространителями названий игр были Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие. Как несложно догадаться, все эти VHD-файлы содержали установщик вредоносного расширения.Через несколько месяцев,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
года, другая группа исследователей выпустила подробный отчет о деятельности того же ChromeLoader, в котором рассказала о распространении зловреда через сеть сайтов, предлагающих пиратскую музыку, фильмы и опять-таки компьютерные игры. В этой кампании вместо настоящего контента на компьютеры жертв скачивались файлы
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, которые загружали и устанавливали вредоносное браузерное расширение.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Один из сайтов, распространявших под видом пиратского контента зловред ChromeLoader
Хотя из-за подмены результатов поиска жертвам достаточно легко заподозрить неладное и обнаружить в браузере опасное расширение, избавиться от него не так-то просто. Дело в том, что ChromeLoader не только устанавливает вредоносное расширение, но и добавляет в систему скрипты и задачи планировщика заданий Windows, которые переустанавливают расширение при каждой перезагрузке системы.
Хакеры читают переписку в Gmail с помощью шпионского расширения
В марте 2023 года немецкое Федеральное ведомство по охране конституции и южнокорейское Национальное агентство разведки
Для просмотра ссылки необходимо нажать
Вход или Регистрация
совместное сообщение о деятельности киберпреступной группировки
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, которая использует зараженное расширение для браузеров на основе Chromium — Google Chrome, Microsoft Edge, а также южнокорейского браузера Naver Whale, — чтобы читать Gmail-переписку своих жертв.Атака начинается с электронных писем, которые взломщики адресно рассылают интересующим их персонам. В письме содержится ссылка на вредоносное расширение под названием AF, а также текст, который убеждает жертву это расширение установить. Расширение начинает действовать, когда жертва открывает Gmail в браузере, в котором оно установлено, — после этого AF автоматически отправляет переписку жертвы на командный сервер злоумышленников.
Таким образом Kimsuky, с одной стороны, удается получить доступ к содержимому почтового ящика жертвы. А с другой — им не требуется прибегать к каким-то хитростям для взлома этого ящика и, в частности, для обхода двухфакторной аутентификации. В качестве приятного бонуса такой метод позволяет сделать все максимально незаметно — в частности, избежать предупреждений жертве от Google о входе в аккаунт с нового устройства и из подозрительной локации, как это было бы при краже пароля от аккаунта.
Rilide: вредоносное расширение крадет криптовалюту и обходит двухфакторную аутентификацию
Также вредоносные расширения нередко используют охотники на чужие криптокошельки. В частности, создатели расширения Rilide, впервые обнаруженного
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, отслеживают с его помощью активность зараженных пользователей в браузере, связанную с криптовалютами. Когда жертва заходит на сайты из заданного списка, зловредное расширение ворует информацию, связанную с криптокошельками, а также логины и пароли от электронной почты.Кроме того, это расширение собирает и отправляет на командный сервер историю браузера и умеет делать скриншоты по команде злоумышленников. Но самое интересное умение Rilide — это возможность обхода двухфакторной аутентификации.
Когда расширение замечает, что пользователь собирается совершить криптовалютную транзакцию на одном из онлайн-сервисов, оно вставляет на страницу скрипт, подменяющий диалог ввода кода подтверждения, и ворует этот код. Кошелек получателя платежа при этом подменяется на тот, который принадлежит злоумышленникам, — далее, используя украденный код, расширение подтверждает транзакцию от имени пользователя.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Как в Twitter продвигали вредоносное расширение Rilide под видом криптоигр
Rilide атакует пользователей браузеров на базе Chromium — Chrome, Edge, Brave и Opera, — имитируя легитимное расширение Google Drive, чтобы не вызывать подозрений. Судя по всему, Rilide свободно продается на черном рынке, так что его используют не связанные друг с другом напрямую злоумышленники. По этой причине разнообразных способов распространения было обнаружено достаточно много — от вредоносных сайтов и электронных писем до зараженных установщиков
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, продвигаемых в Twitter X.Из особенно интересных вариантов распространения Rilide следует отметить
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Эта презентация имитировала руководство по безопасности для сотрудников Zendesk, но на самом деле являлась пошаговой инструкцией по установке вредоносного расширения.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Пошаговая инструкция по самостоятельной установке вредоносного расширения под видом презентации по безопасности для сотрудников компании Zendesk
Десятки вредоносных расширений с суммарными 87 миллионами загрузок в Chrome Web Store
И, конечно же, нельзя не вспомнить историю лета 2023 года, когда исследователи обнаружили в магазине Google Chrome Web Store
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, у которых суммарно было более 87 миллионов загрузок из магазина. Это были браузерные плагины самой разнообразной направленности — от инструментов для конвертации PDF-файлов и блокировщиков рекламы до переводчиков и VPN.Причем расширения были добавлены в магазин еще в 2021 и 2022 годах, так что к моменту обнаружения они присутствовали в Chrome Web Store от нескольких месяцев до года и более. Среди отзывов в магазине к некоторым из расширений были даже жалобы бдительных пользователей, рассказывавших, что расширения подменяют адреса в поисковой выдаче на рекламные. К сожалению, модераторами Chrome Web Store эти жалобы были проигнорированы — вредоносные расширения начали убирать из магазина только после того, как внимание сотрудников Google на проблему обратили две группы исследователей безопасности.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Самое популярное из обнаруженных вредоносных расширений — Autoskip for Youtube — имело более 9 миллионов загрузок из Google Chrome Web Store
Как защититься от вредоносных расширений
Как видите, опасные браузерные расширения могут появиться на компьютере из самых разных источников — включая и официальный магазин Google Chrome Web Store. А сделать с их помощью злоумышленники могут очень многое — от угона аккаунтов и подмены поисковых результатов до чтения переписки и кражи криптовалют.Поэтому стоит позаботиться о защите:
- Старайтесь не устанавливать лишние браузерные расширения. Чем меньше в вашем браузере расширений — тем лучше и безопаснее.
- Если все же устанавливаете расширение, то лучше установить его из магазина, чем с непонятного сайта. Да, там тоже можно встретить опасные расширения, но все же в Google Chrome Web Store хоть как-то заботятся о безопасности.
- Перед установкой почитайте отзывы о расширении. Если с ним что-то не так, это кто-то мог успеть заметить и сообщить об этом другим пользователям.
- Периодически просматривайте список расширений, установленных в ваших браузерах. Удаляйте то, чем вы не пользуетесь, — и особенно те расширения, об установке которых вы не можете вспомнить.
- И обязательно используйте надёжную защиту на всех ваших устройствах.
Для просмотра ссылки необходимо нажать
Вход или Регистрация