Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

Олег Иванов 30 Октября 2017 - 17:37

Домашние пользователи

Windows

Утечки информации

Умышленные утечки информации

Кража данных

...

Новое вредоносное Chrome-расширение - все ваши пароли в руках мошенников

На данный момент существует множество вредоносных расширений Google Chrome, однако некоторые из них чуть более опасны других. Как раз в эту категорию попадает недавно обнаруженное экспертом SANS ISC расширение Catch-All.

Специалист Ренато Маринью (Renato Marinho) заметил, что расширение Catch-All распространяется с помощью фишинговых электронных писем, в которых содержатся ссылки на фотографии, предположительно отправленные через WhatsApp. Однако вместо фотографий жертвы загружают вредоносный дроппер «whatsapp.exe».

После выполнения дроппер отображает поддельное окно установки Adobe PDF Reader, если пользователь нажимает «Установить», автоматически загружается .cab-файл с двумя исполняемыми файлами (md0.exe и md1.exe) на борту.

Перед установкой вредоносного расширения исполняемый файл md0.exe пытается отключить брандмауэр Windows, завершить все процессы Google Chrome и отключить несколько функций безопасности, которые могут помешать вредоносному расширению работать должным образом. Среди таких функций, например, улучшенная защита загрузки SafeBrowsing.

После всех этих действий вредонос извлекает расширение Catch-All и изменяет файлы запуска Google Chrome («.lnk») для его загрузки при следующем выполнении.

Затем Catch-All фиксирует данные, введенные жертвой на веб-сайтах, и отправляет их на командный сервер C&C, используя jQuery ajax-соединения.

Именно поэтому эксперт считает, что это расширение очень опасно – оно позволяет злоумышленникам получить все данные, которые пользователь вводил на сайтах (включая пароли учетных записей онлайн-банков и других сервисов).

«Это очень интересный метод получения данных пользователей – мошенникам не приходится заманивать жертву на фишинговый сайт или прибегать к перехвату соединений. Напротив, пользователь обращается к оригинальным и легитимным веб-сайтам, все работает должным образом во время утечки данных. Другими словами, этот метод может подорвать многие уровни безопасности», - считает Ренато Маринью.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 10:33

Мошенничество Онлайн-мошенничество Домашние пользователи F6

Злоумышленники резко активизировали продажи фейковых билетов на концерты

Компания «Эфшесть»/F6 сообщила о заметной активизации мошенников, продающих фейковые билеты на концерты в России и за рубежом. При этом злоумышленники меняют тактику: если раньше они чаще использовали фишинговые сайты, то в 2026 году основная активность сместилась в мессенджеры и социальные сети.

Аферисты активно используют бренды как российских, так и зарубежных исполнителей. В 2026 году злоумышленники изменили подход.

Раньше они чаще предлагали поддельные билеты через фишинговые ресурсы или сайты-двойники популярных агрегаторов, а теперь основными каналами стали мессенджеры и соцсети. Объявления о продаже билетов на мероприятия в России обычно размещают за 1–5 дней или даже за несколько часов до концерта, а на зарубежные события — за 2–3 месяца.

Количество таких объявлений напрямую зависит от интереса к мероприятию. В среднем перед каждым концертом появляется около 300 публикаций, выполненных по единому шаблону и размещённых с подставных аккаунтов, которые затем быстро удаляют.

«Переписка с "продавцом" происходит в личных сообщениях. Злоумышленники охотно и дружелюбно отвечают на вопросы потенциальных покупателей. При продаже билетов на зарубежные концерты "продавцы" обычно уверяют, что передача билетов покупателю будет проводиться через официальный сайт организатора концерта», — говорится в сообщении компании.

После этого мошенники просят перевести деньги любым удобным способом и обещают отправить квитанцию после поступления платежа. Когда пользователь оплачивает «билет», его просят «подождать подтверждения» или сообщают о якобы возникших «проблемах с поддержкой».

В F6 рекомендуют покупать билеты на концерты, спектакли и другие мероприятия только через официальные ресурсы. Любые предложения в мессенджерах, социальных сетях и на досках объявлений следует рассматривать как потенциально мошеннические.

Помимо билетов на концерты и спектакли, злоумышленники уже давно освоили продажу фейковых авиабилетов. В таких схемах целью часто становится не только получение денег за несуществующие билеты, но и кража платёжных реквизитов. Кроме того, продажа поддельных билетов уже давно стала частью схем с фальшивыми свиданиями.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!