Исследователи кибербезопасности из компании европейского VPS-провайдера ICEBRG обнаружили четыре новых вредоносных расширения для браузера Google Chrome, доступных через официальный интернет-магазин Chrome Web Store.
По данным исследователей, расширения позволяли злоумышленникам отправлять вредоносные команды в зараженные браузеры пользователей в формате кода JavaScript. Однако хакеры не использовали весь функционал, к счастью для пострадавших, злоумышленники использовали эту возможность лишь для кликфрода (браузер загружал специальные сайты в фоновом режиме и скликивал на них рекламу), а также различных SEO-манипуляций.
Вредоносный функционал обнаружен в следующих расширениях: Change HTTP Request Header, Nyoogle — Custom Logo for Google, Lite Bookmarks and Stickies — Chrome’s Post-it Notes. В общей сложности расширения загрузили более 500 тыс. пользователей. В настоящее время расширения уже удалены из Chrome Web Store, но по-прежнему установлены на компьютерах множества пользователей. Хуже того, специалисты ICEBRG уверенны, что среди пользователей опасных аддонов были сотрудники крупных компаний, и атакующие в теории имели возможность следить за пострадавшими пользователями и организациями, занимаясь шпионажем и другими вещами, куда хуже банального скликивания рекламы.
Специалисты ICEBRG уже уведомили о проблеме представителей Компьютерной команды экстренной готовности США (US-CERT), команду Google Safe Browsing Operations и National Cyber Security Centre of The Netherlands (NCSC-NL) и теперь надеются, что информация, в конечном счете, дойдет до пользователей, и те удалят опасные аддоны из своих браузеров.
В настоящее время неясно, созданы ли расширения одними и теми же злоумышленниками, однако по словам исследователей, в них используются аналогичные тактики, методы и процедуры.
Google удалила все четыре программы после конфиденциального сообщения от Icebrg, рассказали в компании.
