Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

Олег Иванов 30 Октября 2017 - 17:37

Домашние пользователи

Windows

Утечки информации

Умышленные утечки информации

Кража данных

...

Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

На данный момент существует множество вредоносных расширений Google Chrome, однако некоторые из них чуть более опасны других. Как раз в эту категорию попадает недавно обнаруженное экспертом SANS ISC расширение Catch-All.

Специалист Ренато Маринью (Renato Marinho) заметил, что расширение Catch-All распространяется с помощью фишинговых электронных писем, в которых содержатся ссылки на фотографии, предположительно отправленные через WhatsApp. Однако вместо фотографий жертвы загружают вредоносный дроппер «whatsapp.exe».

После выполнения дроппер отображает поддельное окно установки Adobe PDF Reader, если пользователь нажимает «Установить», автоматически загружается .cab-файл с двумя исполняемыми файлами (md0.exe и md1.exe) на борту.

Перед установкой вредоносного расширения исполняемый файл md0.exe пытается отключить брандмауэр Windows, завершить все процессы Google Chrome и отключить несколько функций безопасности, которые могут помешать вредоносному расширению работать должным образом. Среди таких функций, например, улучшенная защита загрузки SafeBrowsing.

После всех этих действий вредонос извлекает расширение Catch-All и изменяет файлы запуска Google Chrome («.lnk») для его загрузки при следующем выполнении.

Затем Catch-All фиксирует данные, введенные жертвой на веб-сайтах, и отправляет их на командный сервер C&C, используя jQuery ajax-соединения.

Именно поэтому эксперт считает, что это расширение очень опасно – оно позволяет злоумышленникам получить все данные, которые пользователь вводил на сайтах (включая пароли учетных записей онлайн-банков и других сервисов).

«Это очень интересный метод получения данных пользователей – мошенникам не приходится заманивать жертву на фишинговый сайт или прибегать к перехвату соединений. Напротив, пользователь обращается к оригинальным и легитимным веб-сайтам, все работает должным образом во время утечки данных. Другими словами, этот метод может подорвать многие уровни безопасности», - считает Ренато Маринью.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 12 Августа 2025 - 11:26

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи Государство

Злоумышленники зазывают на видеоконференцию с дипфейком губернатора

В Санкт-Петербурге зафиксирована новая волна мошенничества с использованием дипфейка губернатора города Сергея Беглова. Жителям массово рассылают приглашения на видеоконференцию с главой региона, пытаясь выманить у них личные данные.

Как сообщила «Фонтанка», о ситуации рассказал сам губернатор. По его словам, в электронную приёмную и на его страницу во «ВКонтакте» поступило множество обращений от горожан. Беглов подчеркнул, что такие сообщения рассылают исключительно мошенники, цель которых — «лёгкие деньги» и «нажива».

По словам губернатора, злоумышленники применили технологии дипфейка довольно высокого качества. Имитация его голоса и внешности выглядела правдоподобно.

Беглов напомнил, что должностные лица никогда не запрашивают коды из СМС, а использование зарубежных мессенджеров в служебных целях госслужащим запрещено.

По подсчётам «Фонтанки», это уже третья подобная атака на жителей Санкт-Петербурга. Первая была зафиксирована в ноябре 2024 года — тогда с ней столкнулся историк Лев Лурье. Следующая волна пришлась на март 2025 года.

По оценкам MTS AI, в 2025 году с дипфейк-атаками может столкнуться каждый второй житель России. Эксперты отмечают, что злоумышленники пользуются низкой осведомлённостью россиян о таких технологиях, что активно используется, в том числе, для политических провокаций.

Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

Читайте также