Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

Олег Иванов 30 Октября 2017 - 17:37

Домашние пользователи

Windows

Утечки информации

Умышленные утечки информации

Кража данных

...

Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

На данный момент существует множество вредоносных расширений Google Chrome, однако некоторые из них чуть более опасны других. Как раз в эту категорию попадает недавно обнаруженное экспертом SANS ISC расширение Catch-All.

Специалист Ренато Маринью (Renato Marinho) заметил, что расширение Catch-All распространяется с помощью фишинговых электронных писем, в которых содержатся ссылки на фотографии, предположительно отправленные через WhatsApp. Однако вместо фотографий жертвы загружают вредоносный дроппер «whatsapp.exe».

После выполнения дроппер отображает поддельное окно установки Adobe PDF Reader, если пользователь нажимает «Установить», автоматически загружается .cab-файл с двумя исполняемыми файлами (md0.exe и md1.exe) на борту.

Перед установкой вредоносного расширения исполняемый файл md0.exe пытается отключить брандмауэр Windows, завершить все процессы Google Chrome и отключить несколько функций безопасности, которые могут помешать вредоносному расширению работать должным образом. Среди таких функций, например, улучшенная защита загрузки SafeBrowsing.

После всех этих действий вредонос извлекает расширение Catch-All и изменяет файлы запуска Google Chrome («.lnk») для его загрузки при следующем выполнении.

Затем Catch-All фиксирует данные, введенные жертвой на веб-сайтах, и отправляет их на командный сервер C&C, используя jQuery ajax-соединения.

Именно поэтому эксперт считает, что это расширение очень опасно – оно позволяет злоумышленникам получить все данные, которые пользователь вводил на сайтах (включая пароли учетных записей онлайн-банков и других сервисов).

«Это очень интересный метод получения данных пользователей – мошенникам не приходится заманивать жертву на фишинговый сайт или прибегать к перехвату соединений. Напротив, пользователь обращается к оригинальным и легитимным веб-сайтам, все работает должным образом во время утечки данных. Другими словами, этот метод может подорвать многие уровни безопасности», - считает Ренато Маринью.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 18 Декабря 2025 - 19:48

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Авиакомпании, СМИ и магазины: расширен «белый список» интернета

В России расширили так называемый «белый список» сайтов и сервисов, которые продолжают работать даже в периоды ограничений мобильного интернета, вводимых по соображениям безопасности. В перечень добавили сразу несколько десятков новых ресурсов — от госорганов и СМИ до магазинов, авиакомпаний и сервисов повседневных услуг.

На новом этапе в список вошли, в частности, информационный ресурс «Итоги года с Владимиром Путиным», сайты Совета Федерации, МВД и МЧС, движение «Движение первых», а также авиакомпании «Аэрофлот» и «Победа».

Среди инфраструктурных и деловых ресурсов — «Россети», «Росатом Сеть зарядных станций», Московская биржа, оператор связи «Мотив» и портал по поиску работы HeadHunter.

Перечень пополнился и сервисами для повседневных задач: каршерингом «Ситидрайв», логистической компанией «Деловые линии», сетью ресторанов «Вкусно — и точка», онлайн-кинотеатром «Иви», а также крупными торговыми сетями — «ВкусВилл», «Ашан», «Спар», Metro и «Петрович».

Отдельный блок — средства массовой информации. В «белый список» включены как сайты и приложения федеральных телеканалов (Первый канал, НТВ, RT, ОТР, ТВЦ, ТНТ, СТС, «Пятый канал», «РЕН ТВ», «Пятница», «Домашний», «Муз-ТВ», «Мир», «Спас»), так и печатные издания и цифровые СМИ: «Аргументы и факты», «Российская газета», «Ведомости», «Московский комсомолец», а также приложение «Радиоплеер».

Кроме того, список продолжает расширяться за счёт региональных ресурсов. Ранее туда уже входили социально значимые сервисы в сферах здравоохранения, образования, транспорта и региональных госуслуг. Теперь к ним добавились сайты администраций субъектов РФ и дополнительные региональные платформы.

Напомним, что в «белый список» также входят сайты Президента и Правительства России, крупные маркетплейсы (Ozon, Wildberries), сервисы заказа такси («Яндекс», «Максим») и онлайн-кинотеатры («Кинопоиск», «Винк», Kion, Okko). Перечень формируется на основе предложений федеральных и региональных властей и согласовывается с органами, отвечающими за вопросы безопасности. Работа над его расширением продолжается.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »