Преступники стали встраивать шпионские скрипты в расширения Chrome, чтобы воровать персональную информацию.
ИБ-эксперты обнаружили около 100 зловредных плагинов, которые записывают имена пользователей, электронные адреса, номера телефонов, данные кредитных карт, включая CVV.
Мошенники нашли способ зловредной эксплуатации «Яндекс.Метрики», которая позволяет веб-разработчикам отслеживать поведение посетителей на своих сайтах. Как выяснилось, JavaScript-библиотеку этого инструмента можно встроить в расширение Chrome, чтобы превратить его в средство для слежки. Ранее ученые Принстонского университета предупреждали об опасности подобных веб-скриптов. Исследование семи популярных программ показало, что разработчики по умолчанию отключают скрытие персональных данных, а пользователь фактически не может запретить сайту записывать его действия.
Ситуация осложняется тем, что разработчики зловредных расширений скрывают их предназначение. Некоторые плагины выглядят, как подборки рецептов, другие, на первый взгляд, вообще не выполняют какой-либо функции. Таким образом, пользователь не может знать, что движения его мыши, клики, вводимый текст записываются и пересылаются на удаленный сервер.
Администраторы официального магазина расширений Chrome оперативно удаляют обнаруженные вредоносные плагины — в большинстве случаев в течение одного дня. Тем не менее, по оценкам экспертов, злоумышленники смогли поразить уже более 423 тысяч пользователей.
Аналитики предполагают, что за всеми шпионскими расширениями стоит одна группировка Droidclub, названная по имени одного из серверов, куда скрипты отправляют похищенную информацию. С начала 2017 года эти мошенники стали использовать зловредные надстройки Chrome, чтобы подменять баннеры на просматриваемых веб-страницах. Это обеспечивает преступникам прибыль от показов.
Старые версии плагинов также несли на борту скрипт Coinhive, позволявший майнить криптовалюту Monero. При попытке удалить аддон пользователь попадал его на поддельную страницу Chrome, оформленную как окно управления расширениями.
