Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Google Chrome расширение McAfee cookie
Расширения были обнаружены специалистами из McAfee.

Чума от мира браузерных расширений: 5 вредоносных аддонов следят за 1.4 млн пользователей

Аналитики из McAfee
обнаружили
пять расширений Google Chrome, которые незаметно отслеживают активность пользователей в браузере. В совокупности эти расширения были загружены более 1,4 миллиона раз.
Эти вредоносные расширения подделывают Файл cookie — это информация, которую веб-сайт размещает на компьютере пользователя. Файлы cookie хранят ограниченную информацию о сеансе веб-браузера на данном веб-сайте, которую затем можно получить и использовать в будущем.”
data-html=”true” data-original-title=”Cookie”
>cookie
-файлы, если жертва посещает онлайн-маркетплейсы, чтобы казалось, будто пользователь перешел по реферальной ссылке. За такие “переходы” авторы вредоносных расширений получают вознаграждение.
В McAfee перечислили все пять вредоносных аддонов, указав также их идентификаторы:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 загрузок;
Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 загрузок
Full Page Screenshot Capture (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 загрузок;
FlipShope (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 загрузок;
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 загрузок.

Четыре вредоносных аддона в магазине расширений Chrome.
Стоит отметить, что вышеуказанные расширения исправно выполняют свои задачи, что мешает обнаружить вредоносную активность.
Согласно отчету McAfee, все пять расширений имеют общий принцип работы: манифест веб-приложения (файл “manifest.json”), диктует поведение расширения в системе, затем загружает многофункциональный скрипт (B0.js), который отправляет данные активности пользователя в браузере на домен, контролируемый злоумышленниками (“langhort[.]com”).
Каждый раз, когда пользователь посещает новый URL, информация отправляется злоумышленнику в виде POST-запросов. Отправляемые сведения включают в себя URL в формате base64, идентификатор пользователя, геолокацию устройства (страна, город, почтовый индекс) и закодированный реферальный URL.

Функция, с помощью которой злоумышленник получает данные пользователя.
Файл B0.js модифицирует или подменяет cookie-файлы. Специалисты McAfee также опубликовали видеоролик, демонстрирующий процесс модификации URL и cookie-файлов в режиме реального времени:
Чтобы избежать обнаружения и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять пользовательские данные на сервер разработчиков.

Задержка в 15 дней перед отправкой данных.
Стоит отметить, что Netflix Party и Netflix Party 2 были удалены из магазина расширений, но не из браузеров пользователей, поэтому их придется удалить вручную.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован.