Как вредоносные расширения воруют криптовалюту, угоняют аккаунты в играх и соцсетях, подделывают результаты поиска и показывают навязчивую рекламу.
Мы часто пишем о том, что браузерные расширения могут быть очень опасны. Чтобы проиллюстрировать этот факт, мы решили сделать отдельный материал. В этом посте мы поговорим о самых интересных, самых необычных, самых массовых и самых опасных случаях 2023 года, когда пользователи сталкивались с вредоносными расширениями. А также о том, на что эти расширения были способны, — и, конечно же, о том, как защититься от подобных неприятностей.
Расширения были предназначены для поиска определенного игрока на серверах Roblox. Однако основным их предназначением был угон аккаунтов игроков Roblox и кража их внутриигровой собственности. После того как информация о вредоносных расширениях на Bleeping Computers, они были убраны из Chrome Web Store, а также автоматически удалены с устройств тех пользователей, которые их установили.
Вредоносные расширения SearchBlox, опубликованные в Google Chrome Web Store, угоняли аккаунты игроков Roblox
Однако история с Roblox на этом не заканчивается: в августе 2023 года в Chrome Web Store были обнаружены еще два вредоносных расширения похожей направленности — . Как и SearchBlox, эти плагины предлагали пользователям возможность поиска других игроков на серверах Roblox, но в реальности в них был встроен бэкдор. Сообществу пользователей Roblox в итоге удалось добиться того, чтобы эти расширения также убрали из магазина.
Вредоносное расширение RoTracker, также размещенное в Google Chrome Web Store
Это говорит о том, что качество модерации на самой официальной в мире площадке для скачивания расширений для браузера Google Chrome оставляет желать лучшего, и создателям вредоносных расширений достаточно несложно проталкивать в Chrome Web Store свои творения. А для того, чтобы модераторы заметили опасные расширения и убрали их из магазина, как правило, недостаточно отзывов пострадавших пользователей — для этого часто требуются усилия медиа, исследователей безопасности или какого-нибудь крупного сетевого сообщества.
Зараженное расширение ChatGPT For Google было загружено в Chrome Web Store 14 февраля 2023 года. Некоторое время его создатели выжидали, а активное распространение начали лишь месяц спустя, 14 марта 2023 года. Для этого они использовали рекламные объявления в поиске Google. И не без успеха — им удавалось привлекать примерно по тысяче новых пользователей в день, так что к моменту обнаружения угрозы расширение успело набрать более 9000 загрузок.
Зараженная версия расширения ChatGPT For Google выглядела совсем как настоящая
Троянизированная копия ChatGPT For Google работала точно так же, как настоящая, но в нее была добавлена вредоносная функциональность: зараженная версия включала дополнительный код, предназначенный для похищения сохраненных браузером сессионных куки-файлов Facebook*. Используя эти файлы, злоумышленники получали возможность угнать аккаунты Facebook* у пользователей, установивших зараженное расширение.
А затем скомпрометированные аккаунты могли использоваться для чего-то противозаконного. В качестве примера исследователи аккаунт Facebook*, принадлежавший производителю домов на колесах, который после угона начал публиковать контент ИГИЛ**
В другом случае злоумышленники создали полностью оригинальное расширение под названием Quick access to Chat GPT. Собственно, расширение делало то, что обещало: позволяло пользователю общаться с ChatGPT, по сути выступая посредником между ним и AI-сервисом, используя для связи официальную API ChatGPT. Но основным его предназначением была опять-таки кража сессионных куки-файлов Facebook*, которые позволяли создателям вредоносного расширения угонять бизнес-аккаунты Facebook*.
Вредоносное расширение Quick access to Chat GPT
Что особенно интересно, для продвижения вредоносного расширения злоумышленники использовали рекламу в самом Facebook*, оплаченную… за счет тех бизнес-аккаунтов, которые им уже удалось угнать! Таким незамысловатым образом создателям Quick access to Chat GPT удавалось привлекать по паре тысяч новых пользователей в день. В итоге оба вредоносных расширения были убраны из магазина.
Это расширение, в свою очередь, показывает в браузере навязчивую рекламу и подменяет поисковую выдачу, подставляя в нее ссылки, ведущие на фейковые раздачи призов, опросы, сайты знакомств, игры для взрослых, нежелательное программное обеспечение и так далее.
В качестве приманки в этом году ChromeLoader использует разнообразный пиратский контент. Например, года исследователи рассказали о распространении ChromeLoader в интернете через (один из форматов образа диска), маскирующиеся под взломанные игры или «кряки» для игр. Среди использованных распространителями названий игр были Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие. Как несложно догадаться, все эти VHD-файлы содержали установщик вредоносного расширения.
Через несколько месяцев, года, другая группа исследователей выпустила подробный отчет о деятельности того же ChromeLoader, в котором рассказала о распространении зловреда через сеть сайтов, предлагающих пиратскую музыку, фильмы и опять-таки компьютерные игры. В этой кампании вместо настоящего контента на компьютеры жертв скачивались файлы , которые загружали и устанавливали вредоносное браузерное расширение.
Один из сайтов, распространявших под видом пиратского контента зловред ChromeLoader
Хотя из-за подмены результатов поиска жертвам достаточно легко заподозрить неладное и обнаружить в браузере опасное расширение, избавиться от него не так-то просто. Дело в том, что ChromeLoader не только устанавливает вредоносное расширение, но и добавляет в систему скрипты и задачи планировщика заданий Windows, которые переустанавливают расширение при каждой перезагрузке системы.
Атака начинается с электронных писем, которые взломщики адресно рассылают интересующим их персонам. В письме содержится ссылка на вредоносное расширение под названием AF, а также текст, который убеждает жертву это расширение установить. Расширение начинает действовать, когда жертва открывает Gmail в браузере, в котором оно установлено, — после этого AF автоматически отправляет переписку жертвы на командный сервер злоумышленников.
Таким образом Kimsuky, с одной стороны, удается получить доступ к содержимому почтового ящика жертвы. А с другой — им не требуется прибегать к каким-то хитростям для взлома этого ящика и, в частности, для обхода двухфакторной аутентификации. В качестве приятного бонуса такой метод позволяет сделать все максимально незаметно — в частности, избежать предупреждений жертве от Google о входе в аккаунт с нового устройства и из подозрительной локации, как это было бы при краже пароля от аккаунта.
Кроме того, это расширение собирает и отправляет на командный сервер историю браузера и умеет делать скриншоты по команде злоумышленников. Но самое интересное умение Rilide — это возможность обхода двухфакторной аутентификации.
Когда расширение замечает, что пользователь собирается совершить криптовалютную транзакцию на одном из онлайн-сервисов, оно вставляет на страницу скрипт, подменяющий диалог ввода кода подтверждения, и ворует этот код. Кошелек получателя платежа при этом подменяется на тот, который принадлежит злоумышленникам, — далее, используя украденный код, расширение подтверждает транзакцию от имени пользователя.
Как в Twitter продвигали вредоносное расширение Rilide под видом криптоигр
Rilide атакует пользователей браузеров на базе Chromium — Chrome, Edge, Brave и Opera, — имитируя легитимное расширение Google Drive, чтобы не вызывать подозрений. Судя по всему, Rilide свободно продается на черном рынке, так что его используют не связанные друг с другом напрямую злоумышленники. По этой причине разнообразных способов распространения было обнаружено достаточно много — от вредоносных сайтов и электронных писем до зараженных установщиков , продвигаемых в Twitter X.
Из особенно интересных вариантов распространения Rilide следует отметить . Эта презентация имитировала руководство по безопасности для сотрудников Zendesk, но на самом деле являлась пошаговой инструкцией по установке вредоносного расширения.
Пошаговая инструкция по самостоятельной установке вредоносного расширения под видом презентации по безопасности для сотрудников компании Zendesk
Причем расширения были добавлены в магазин еще в 2021 и 2022 годах, так что к моменту обнаружения они присутствовали в Chrome Web Store от нескольких месяцев до года и более. Среди отзывов в магазине к некоторым из расширений были даже жалобы бдительных пользователей, рассказывавших, что расширения подменяют адреса в поисковой выдаче на рекламные. К сожалению, модераторами Chrome Web Store эти жалобы были проигнорированы — вредоносные расширения начали убирать из магазина только после того, как внимание сотрудников Google на проблему обратили две группы исследователей безопасности.
Самое популярное из обнаруженных вредоносных расширений — Autoskip for Youtube — имело более 9 миллионов загрузок из Google Chrome Web Store
Поэтому стоит позаботиться о защите:
Мы часто пишем о том, что браузерные расширения могут быть очень опасны. Чтобы проиллюстрировать этот факт, мы решили сделать отдельный материал. В этом посте мы поговорим о самых интересных, самых необычных, самых массовых и самых опасных случаях 2023 года, когда пользователи сталкивались с вредоносными расширениями. А также о том, на что эти расширения были способны, — и, конечно же, о том, как защититься от подобных неприятностей.
Расширения для Roblox с бэкдором
Чтобы задать тон и обозначить одну из главных проблем, связанных с опасными расширениями, начнем с истории, которая стартовала еще в прошлом году. В ноябре 2022 года в Chrome Web Store — официальном магазине расширений для браузера Chrome, принадлежащем Google, — два вредоносных расширения с одинаковым названием SearchBlox. У одного из этих расширений было более 200 000 загрузок.Расширения были предназначены для поиска определенного игрока на серверах Roblox. Однако основным их предназначением был угон аккаунтов игроков Roblox и кража их внутриигровой собственности. После того как информация о вредоносных расширениях на Bleeping Computers, они были убраны из Chrome Web Store, а также автоматически удалены с устройств тех пользователей, которые их установили.
Вредоносные расширения SearchBlox, опубликованные в Google Chrome Web Store, угоняли аккаунты игроков Roblox
Однако история с Roblox на этом не заканчивается: в августе 2023 года в Chrome Web Store были обнаружены еще два вредоносных расширения похожей направленности — . Как и SearchBlox, эти плагины предлагали пользователям возможность поиска других игроков на серверах Roblox, но в реальности в них был встроен бэкдор. Сообществу пользователей Roblox в итоге удалось добиться того, чтобы эти расширения также убрали из магазина.
Вредоносное расширение RoTracker, также размещенное в Google Chrome Web Store
Это говорит о том, что качество модерации на самой официальной в мире площадке для скачивания расширений для браузера Google Chrome оставляет желать лучшего, и создателям вредоносных расширений достаточно несложно проталкивать в Chrome Web Store свои творения. А для того, чтобы модераторы заметили опасные расширения и убрали их из магазина, как правило, недостаточно отзывов пострадавших пользователей — для этого часто требуются усилия медиа, исследователей безопасности или какого-нибудь крупного сетевого сообщества.
Фейковые расширения ChatGPT угоняли аккаунты Facebook*
В марте 2023 года с разницей в несколько дней в Google Chrome Web Store были сразу , которые использовали волну хайпа, поднявшегося вокруг AI-сервиса ChatGPT. В одном из описанных случаев это была зараженная копия настоящего расширения ChatGPT For Google, предлагающего интеграцию ответов сервиса ChatGPT в результаты поиска популярных поисковых систем.Зараженное расширение ChatGPT For Google было загружено в Chrome Web Store 14 февраля 2023 года. Некоторое время его создатели выжидали, а активное распространение начали лишь месяц спустя, 14 марта 2023 года. Для этого они использовали рекламные объявления в поиске Google. И не без успеха — им удавалось привлекать примерно по тысяче новых пользователей в день, так что к моменту обнаружения угрозы расширение успело набрать более 9000 загрузок.
Зараженная версия расширения ChatGPT For Google выглядела совсем как настоящая
Троянизированная копия ChatGPT For Google работала точно так же, как настоящая, но в нее была добавлена вредоносная функциональность: зараженная версия включала дополнительный код, предназначенный для похищения сохраненных браузером сессионных куки-файлов Facebook*. Используя эти файлы, злоумышленники получали возможность угнать аккаунты Facebook* у пользователей, установивших зараженное расширение.
А затем скомпрометированные аккаунты могли использоваться для чего-то противозаконного. В качестве примера исследователи аккаунт Facebook*, принадлежавший производителю домов на колесах, который после угона начал публиковать контент ИГИЛ**
В другом случае злоумышленники создали полностью оригинальное расширение под названием Quick access to Chat GPT. Собственно, расширение делало то, что обещало: позволяло пользователю общаться с ChatGPT, по сути выступая посредником между ним и AI-сервисом, используя для связи официальную API ChatGPT. Но основным его предназначением была опять-таки кража сессионных куки-файлов Facebook*, которые позволяли создателям вредоносного расширения угонять бизнес-аккаунты Facebook*.
Вредоносное расширение Quick access to Chat GPT
Что особенно интересно, для продвижения вредоносного расширения злоумышленники использовали рекламу в самом Facebook*, оплаченную… за счет тех бизнес-аккаунтов, которые им уже удалось угнать! Таким незамысловатым образом создателям Quick access to Chat GPT удавалось привлекать по паре тысяч новых пользователей в день. В итоге оба вредоносных расширения были убраны из магазина.
ChromeLoader: пиратский контент с вредоносными расширениями внутри
Часто создатели вредоносных расширений не размещают их в Google Chrome Web Store, а распространяют каким-либо другим образом. Например, в начале этого года была замечена новая вредоносная кампания уже достаточно хорошо известного исследователям зловреда ChromeLoader. Основное предназначение этого трояна — установка вредоносного расширения в браузере жертвы.Это расширение, в свою очередь, показывает в браузере навязчивую рекламу и подменяет поисковую выдачу, подставляя в нее ссылки, ведущие на фейковые раздачи призов, опросы, сайты знакомств, игры для взрослых, нежелательное программное обеспечение и так далее.
В качестве приманки в этом году ChromeLoader использует разнообразный пиратский контент. Например, года исследователи рассказали о распространении ChromeLoader в интернете через (один из форматов образа диска), маскирующиеся под взломанные игры или «кряки» для игр. Среди использованных распространителями названий игр были Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие. Как несложно догадаться, все эти VHD-файлы содержали установщик вредоносного расширения.
Через несколько месяцев, года, другая группа исследователей выпустила подробный отчет о деятельности того же ChromeLoader, в котором рассказала о распространении зловреда через сеть сайтов, предлагающих пиратскую музыку, фильмы и опять-таки компьютерные игры. В этой кампании вместо настоящего контента на компьютеры жертв скачивались файлы , которые загружали и устанавливали вредоносное браузерное расширение.
Один из сайтов, распространявших под видом пиратского контента зловред ChromeLoader
Хотя из-за подмены результатов поиска жертвам достаточно легко заподозрить неладное и обнаружить в браузере опасное расширение, избавиться от него не так-то просто. Дело в том, что ChromeLoader не только устанавливает вредоносное расширение, но и добавляет в систему скрипты и задачи планировщика заданий Windows, которые переустанавливают расширение при каждой перезагрузке системы.
Хакеры читают переписку в Gmail с помощью шпионского расширения
В марте 2023 года немецкое Федеральное ведомство по охране конституции и южнокорейское Национальное агентство разведки совместное сообщение о деятельности киберпреступной группировки , которая использует зараженное расширение для браузеров на основе Chromium — Google Chrome, Microsoft Edge, а также южнокорейского браузера Naver Whale, — чтобы читать Gmail-переписку своих жертв.Атака начинается с электронных писем, которые взломщики адресно рассылают интересующим их персонам. В письме содержится ссылка на вредоносное расширение под названием AF, а также текст, который убеждает жертву это расширение установить. Расширение начинает действовать, когда жертва открывает Gmail в браузере, в котором оно установлено, — после этого AF автоматически отправляет переписку жертвы на командный сервер злоумышленников.
Таким образом Kimsuky, с одной стороны, удается получить доступ к содержимому почтового ящика жертвы. А с другой — им не требуется прибегать к каким-то хитростям для взлома этого ящика и, в частности, для обхода двухфакторной аутентификации. В качестве приятного бонуса такой метод позволяет сделать все максимально незаметно — в частности, избежать предупреждений жертве от Google о входе в аккаунт с нового устройства и из подозрительной локации, как это было бы при краже пароля от аккаунта.
Rilide: вредоносное расширение крадет криптовалюту и обходит двухфакторную аутентификацию
Также вредоносные расширения нередко используют охотники на чужие криптокошельки. В частности, создатели расширения Rilide, впервые обнаруженного , отслеживают с его помощью активность зараженных пользователей в браузере, связанную с криптовалютами. Когда жертва заходит на сайты из заданного списка, зловредное расширение ворует информацию, связанную с криптокошельками, а также логины и пароли от электронной почты.Кроме того, это расширение собирает и отправляет на командный сервер историю браузера и умеет делать скриншоты по команде злоумышленников. Но самое интересное умение Rilide — это возможность обхода двухфакторной аутентификации.
Когда расширение замечает, что пользователь собирается совершить криптовалютную транзакцию на одном из онлайн-сервисов, оно вставляет на страницу скрипт, подменяющий диалог ввода кода подтверждения, и ворует этот код. Кошелек получателя платежа при этом подменяется на тот, который принадлежит злоумышленникам, — далее, используя украденный код, расширение подтверждает транзакцию от имени пользователя.
Как в Twitter продвигали вредоносное расширение Rilide под видом криптоигр
Rilide атакует пользователей браузеров на базе Chromium — Chrome, Edge, Brave и Opera, — имитируя легитимное расширение Google Drive, чтобы не вызывать подозрений. Судя по всему, Rilide свободно продается на черном рынке, так что его используют не связанные друг с другом напрямую злоумышленники. По этой причине разнообразных способов распространения было обнаружено достаточно много — от вредоносных сайтов и электронных писем до зараженных установщиков , продвигаемых в Twitter X.
Из особенно интересных вариантов распространения Rilide следует отметить . Эта презентация имитировала руководство по безопасности для сотрудников Zendesk, но на самом деле являлась пошаговой инструкцией по установке вредоносного расширения.
Пошаговая инструкция по самостоятельной установке вредоносного расширения под видом презентации по безопасности для сотрудников компании Zendesk
Десятки вредоносных расширений с суммарными 87 миллионами загрузок в Chrome Web Store
И, конечно же, нельзя не вспомнить историю лета 2023 года, когда исследователи обнаружили в магазине Google Chrome Web Store , у которых суммарно было более 87 миллионов загрузок из магазина. Это были браузерные плагины самой разнообразной направленности — от инструментов для конвертации PDF-файлов и блокировщиков рекламы до переводчиков и VPN.Причем расширения были добавлены в магазин еще в 2021 и 2022 годах, так что к моменту обнаружения они присутствовали в Chrome Web Store от нескольких месяцев до года и более. Среди отзывов в магазине к некоторым из расширений были даже жалобы бдительных пользователей, рассказывавших, что расширения подменяют адреса в поисковой выдаче на рекламные. К сожалению, модераторами Chrome Web Store эти жалобы были проигнорированы — вредоносные расширения начали убирать из магазина только после того, как внимание сотрудников Google на проблему обратили две группы исследователей безопасности.
Самое популярное из обнаруженных вредоносных расширений — Autoskip for Youtube — имело более 9 миллионов загрузок из Google Chrome Web Store
Как защититься от вредоносных расширений
Как видите, опасные браузерные расширения могут появиться на компьютере из самых разных источников — включая и официальный магазин Google Chrome Web Store. А сделать с их помощью злоумышленники могут очень многое — от угона аккаунтов и подмены поисковых результатов до чтения переписки и кражи криптовалют.Поэтому стоит позаботиться о защите:
- Старайтесь не устанавливать лишние браузерные расширения. Чем меньше в вашем браузере расширений — тем лучше и безопаснее.
- Если все же устанавливаете расширение, то лучше установить его из магазина, чем с непонятного сайта. Да, там тоже можно встретить опасные расширения, но все же в Google Chrome Web Store хоть как-то заботятся о безопасности.
- Перед установкой почитайте отзывы о расширении. Если с ним что-то не так, это кто-то мог успеть заметить и сообщить об этом другим пользователям.
- Периодически просматривайте список расширений, установленных в ваших браузерах. Удаляйте то, чем вы не пользуетесь, — и особенно те расширения, об установке которых вы не можете вспомнить.
- И обязательно используйте надёжную защиту на всех ваших устройствах.
