Новость Вредоносные расширения из Google Chrome Web Store воруют чужие «фейсбуки»

Тема в разделе "Новости и статьи IT безопасности", создана пользователем Igisimbaev, 20 июл 2016.

↑ ↓
  1. Igisimbaev Житель форума
    Igisimbaev
    Ответить в чате

    Форумчанин

    Регистрация:
    19.12.2015
    Сообщения:
    24
    Симпатии:
    15
    Пол:
    Мужской
    Репа:
    +16 / 0 / -2
    [​IMG]

    В Google Chrome Web Store нашли целые залежи вредоносных расширений для браузера Google Chrome. Они обманом попадали на компьютеры своих жертв, а потом похищали их учётные записи в социальной сети. Кроме того, эти расширения могли использоваться для проведения DDoS-атак, кражи паролей, добычи Bitcoin — и это ещё не полный список.

    Вредоносные расширения обнаружил датский студент по имени Максим Кейа (Maxime Kjaer). Он заметил, что злоумышленники распространяют в Facebook ссылки на сомнительный сайт, проверяющий возраст посетителей. Метод проверки необычен: сайт требует установить специальное расширение для браузера. Впрочем, пользователи привыкли и не к такому и послушно делают, что велено.

    Все расширения, распространявшиеся таким образом, имели похожие названия, состоящие из различных комбинаций слов «возраст», «проверка» и «вирусный» (aga, verify, viral), и были загружены на официальный сайт Google. Это помогало злоумышленникам убедить в безвредности затеи особенно осторожных пользователей.

    После установки вредоносные расширения требовали максимальных прав и работали от момента запуска браузера и до его закрытия.

    К проверке возраста эти программы не имели ни малейшего отношения. Расширения состояли из трёх файлов. Один из них представляет собой безвредный модуль для разбора URL, а функциональность сосредоточена в двух других: background.js и install.js. Один имитирует процесс проверки возраста, а другой при первой же возможности загружает с сервера злоумышленников ещё один скрипт.

    Вся вредоносная функциональность скрывается именно в нём. Такая многоступенчатая схема установки понадобилась для того, чтобы обмануть автоматику Google. Она может заметить и остановить откровеную малварь, которая включена в состав самого расширения, но не следит за тем, что оно делает уже после установки.

    Загруженный скрипт подключается к командному серверу и исполняет получаемые указания. В данный момент его основная функциональность заключается в захвате учётных записей Facebook. Кейа пишет, что после входа в социальную сеть расширение передало на командный сервер токен доступа к его аккаунту Facebook. Токен позволил софту злоумышленников действовать от его имени. Тот немедленно воспользовался такой возможностью и начал расставлять рекламные лайки.

    По подсчётам Кейа, вредоносные аддоны установлены на 132265 компьютеров.

    Источник
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей