Experti zjistili, že nebezpečné rozšíření pro Google Chrome používá 1,4 milionu uživatelů
5. září 2022
Bylo objeveno pět podvodných rozšíření pro webový prohlížeč Google Chrome vydávajících se např. za prohlížeče Netflixu a jiné. Tato rozšíření sledují aktivitu uživatelů při prohlížení webu a jejich tvůrci profitují z affiliate programů (pozn. = provize za prodej).
"Rozšíření nabízejí různé funkce, jako je umožnění uživatelům sledovat pořady Netflixu, získat dárkové kupony, či pořizovat snímky obrazovky webové stránky," uvedli výzkumníci společnosti McAfee Oliver Devane a Vallabh Chole.
Jedná se o tyto doplňky prohlížeče – dostupné prostřednictvím Internetového obchodu Chrome a stažené 1,4 milionkrát:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 stažení
Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 stažení
FlipShope – rozšíření pro sledování cen (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 stažení
Full Page Screenshot Capture – Screenshoting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 stažení
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 stažení
Rozšíření jsou navržena tak, aby načetla kód JavaScriptu, který je zodpovědný za sledování navštívených webových stránek, a vložila škodlivý kód do portálů e-shopů, což útočníkům umožnilo vydělávat peníze prostřednictvím affiliate programů za nákupy uskutečněné oběťmi.
„Každá navštívená webová stránka je odeslána na servery vlastněné tvůrcem rozšíření,“ poznamenali vědci. "Dělají to proto, aby mohli vložit kód do navštěvovaných webových stránek elektronického obchodu. Tímto upraví soubory cookie na webu tak, aby autoři rozšíření obdrželi affiliate platbu za jakékoli zakoupené položky."
V malwaru je také zahrnuta technika, která oddaluje škodlivou aktivitu o 15 dní od okamžiku instalace rozšíření, aby zabránila upozorněním antimalwarových programů.
Toto zjištění přišlo po objevu třinácti rozšíření prohlížeče Chrome v březnu 2022, která přesměrovávala uživatele v USA, Evropě a Indii na phishingové stránky a exfiltrovala citlivé informace.
Od středy bylo z Internetového obchodu Chrome odstraněno všech pět doplňků. Uživatelům nainstalovaných rozšíření se doporučuje, aby je ručně odstranili z prohlížeče Chrome, aby se zmírnila další rizika.
