В еженедельном отчёте, который Experis Cyber рассылает своим клиентам, было выявлено особенно тревожное явление: популярные и известные расширения для браузера Google Chrome, загруженные более чем 2,3 миллионами пользователей, оказались вредоносным шпионским ПО.
В отчёте, разосланном клиентам компании на этой неделе, описывается, как около дюжины расширений, доступных в официальном магазине Chrome и предположительно предоставляющих такие услуги, как VPN, регулировка громкости, клавиатура с эмодзи и другие, на самом деле отслеживали активность пользователей, отправляли собранную информацию на внешние серверы и иногда даже перенаправляли пользователей на подозрительные веб-адреса.
Информация была раскрыта исследователями Koi Security, которые обнаружили вредоносный код в браузерах и сообщили о нём в Google. Некоторые расширения уже удалены из магазина, но другие всё ещё доступны для загрузки, некоторые из них прошли официальную проверку Google, имеют сотни положительных отзывов и высокие позиции в результатах поиска.
Среди упомянутых вредоносных расширений:
Geco Color Picker
Emoji Keyboard Online
Free Weather Forecast
Volume Max
Unlock Discord VPN
Unlock TikTok
Dark Theme
Unlock YouTube VPN
Одно из расширений, Volume Max, уже ранее отмечалось как подозрительное, но только сейчас было подтверждено, что оно содержит шпионское ПО.
Согласно отчёту, шпионский код внедряется «за кулисами» расширения и работает в фоновом режиме, пока пользователь просматривает различные веб-сайты. Каждый адрес, занесённый в историю посещений, собирается и отправляется с уникальным идентификатором на удалённый сервер. Исследователи отмечают, что реальных попыток перенаправления пользователей на вредоносные веб-сайты пока не выявлено, но такая возможность существует и встроена в систему.
Ещё более тревожно: во многих случаях расширения годами были совершенно безопасны, пока их не «взламывали» злоумышленники, внедрявшие в них опасный код, как это уже случалось в прошлом. Поскольку расширения Chrome обновляются автоматически, большинство пользователей даже не подозревали об установке вредоносного кода.
Experis Cyber сообщает, что помимо браузера Chrome вредоносные расширения были обнаружены и в магазине приложений Microsoft Edge, где их скачали более 600 тысяч раз. Это, пожалуй, один из самых серьёзных случаев взлома браузеров на сегодняшний день.
Роман Малахов, директор по безопасности и сотрудничеству в Experis Cyber, предупредил: «Данное расследование демонстрирует, насколько серьёзную угрозу конфиденциальности пользователей могут представлять даже легитимные и проверенные расширения. Явление перехвата расширений не ново, но нынешние масштабы особенно необычны».
Малахов рекомендует: Регулярно сканируйте все расширения в браузерах, особенно в организациях. Убедитесь, что механизмы безопасности обновлены. Активируйте специальные средства защиты, например, блокируя Mail Bombing в настройках электронной почты. По его словам, «сочетание возможностей скрытой слежки с распространением через официальный магазин - это тревожный сигнал для всех нас. Как частные пользователи, так и ИТ-организации должны реагировать быстро и решительно».