Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

Олег Иванов 30 Октября 2017 - 17:37

Домашние пользователи

Windows

Утечки информации

Умышленные утечки информации

Кража данных

...

Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

На данный момент существует множество вредоносных расширений Google Chrome, однако некоторые из них чуть более опасны других. Как раз в эту категорию попадает недавно обнаруженное экспертом SANS ISC расширение Catch-All.

Специалист Ренато Маринью (Renato Marinho) заметил, что расширение Catch-All распространяется с помощью фишинговых электронных писем, в которых содержатся ссылки на фотографии, предположительно отправленные через WhatsApp. Однако вместо фотографий жертвы загружают вредоносный дроппер «whatsapp.exe».

После выполнения дроппер отображает поддельное окно установки Adobe PDF Reader, если пользователь нажимает «Установить», автоматически загружается .cab-файл с двумя исполняемыми файлами (md0.exe и md1.exe) на борту.

Перед установкой вредоносного расширения исполняемый файл md0.exe пытается отключить брандмауэр Windows, завершить все процессы Google Chrome и отключить несколько функций безопасности, которые могут помешать вредоносному расширению работать должным образом. Среди таких функций, например, улучшенная защита загрузки SafeBrowsing.

После всех этих действий вредонос извлекает расширение Catch-All и изменяет файлы запуска Google Chrome («.lnk») для его загрузки при следующем выполнении.

Затем Catch-All фиксирует данные, введенные жертвой на веб-сайтах, и отправляет их на командный сервер C&C, используя jQuery ajax-соединения.

Именно поэтому эксперт считает, что это расширение очень опасно – оно позволяет злоумышленникам получить все данные, которые пользователь вводил на сайтах (включая пароли учетных записей онлайн-банков и других сервисов).

«Это очень интересный метод получения данных пользователей – мошенникам не приходится заманивать жертву на фишинговый сайт или прибегать к перехвату соединений. Напротив, пользователь обращается к оригинальным и легитимным веб-сайтам, все работает должным образом во время утечки данных. Другими словами, этот метод может подорвать многие уровни безопасности», - считает Ренато Маринью.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 11:23

iOS Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники превращают iPhone в кирпич через моды Telegram

В России появилась новая мошенническая схема, нацеленная на владельцев iPhone и iPad. Злоумышленники предлагают установить якобы «прокачанные» версии Telegram с дополнительными возможностями: встроенным VPN, анонимным номером, доступом к удалённым перепискам и даже бесплатным Premium. Но на деле всё заканчивается куда прозаичнее: устройство блокируют, а с владельца потом требуют деньги за разблокировку.

О новой схеме рассказали специалисты компании F6. По их данным, с 9 февраля по 5 марта 2026 года одна из групп, работающих по такому сценарию, похитила у пользователей в России почти 3 млн рублей.

Схема построена на актуальной повестке. На фоне замедления Telegram в России и разговоров о возможной блокировке мессенджера мошенники играют на тревоге пользователей, которые ищут способы сохранить доступ к сервису при любом развитии событий.

В качестве приманки используются так называемые моды Telegram — модифицированные версии приложения, которых нет в App Store. Пользователям обещают заманчивый набор функций: обход ограничений, режим инкогнито, просмотр удалённых сообщений, доступ к закрытым каналам и прочие «секретные возможности». Среди названий таких сборок фигурируют ToxicGram, DarkGram, HakoGram, HoloGram, AstroGram и Doxogram.

Дальше в ход идёт Telegram-бот. Он объясняет, что нужный мод нельзя установить из официального магазина, поэтому якобы нужно подключиться к другой учётной записи Apple. Мошенники называют это «передачей айклауда» и высылают инструкции: выйти из своего аккаунта и войти в чужой Apple ID по присланным логину и паролю.

И вот здесь для пользователя начинается самое неприятное. Как только устройство привязывается к подставному Apple ID, злоумышленники блокируют iPhone или iPad. После этого на экране оставляют контакты для связи, а дальше уже под видом «поддержки Apple» или неких специализированных сервисов начинают вымогать деньги за возврат доступа.

Причём многие жертвы даже не понимают, что общаются всё с теми же мошенниками, которые их и заблокировали. По данным F6, за разблокировку обычно требуют от 10 до 60 тысяч рублей. Сумма зависит от модели устройства. Чем дороже и новее гаджет, тем выше «тариф».

Средняя сумма списаний в этой схеме составила 11 837 рублей, но в компании подчёркивают, что реальные потери часто оказываются выше: многие переводят деньги злоумышленникам не одним платежом, а частями.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!