3 млн пользователей стали жертвами вредоносных аддонов для Chrome и Edge

3 млн пользователей стали жертвами вредоносных аддонов для Chrome и Edge

Три миллиона пользователей стали жертвами вредоносных расширений для браузеров Chrome и Edge. Эти аддоны похищали персональные данные и перенаправляли людей на фишинговые сайты. Подробно о кампании злоумышленников рассказали эксперты Avast.

В общей сложности исследователи выявили 28 расширений для Google Chrome и Microsoft Edge, содержащих вредоносную составляющую. Авторы маскировали свои аддоны под «полезные инструменты» для загрузки изображений, видеозаписей и другого медиаконтента из популярных площадок: Facebook, Instagram, Vimeo и Spotify.

Сами расширения были основаны на JavaScript, а стоящие за их распространением киберпреступники предусмотрели скрытые вредоносные функции. Например, аддоны могли загружать другие зловреды на компьютеры жертв.

«Пострадавшие пользователи отмечали, что расширения мешали им нормально пользоваться интернетом и перенаправляли их на незнакомые сайты. Каждый раз, когда пользователь нажимал на ссылку, расширение передавало информацию об этом на командный сервер соумышленников, а последние могли отправить команду редиректа», — пишут специалисты Avast.

«Преступники также собирали личные данные пользователей: даты рождения, адреса электронной почты, информацию об устройстве и даже IP-адрес».

Помимо этих сведений, антивирусные эксперты Avast также опубликовали список вредоносных расширений, чтобы пользователи смогли проверить их наличие у себя в системах:

  • Direct Message for Instagram
  • Direct Message for Instagram
  • DM for Instagram
  • Invisible mode for Instagram Direct Message
  • Downloader for Instagram
  • Instagram Download Video & Image
  • App Phone for Instagram
  • App Phone for Instagram
  • Stories for Instagram
  • Universal Video Downloader
  • Universal Video Downloader
  • Video Downloader for FaceBook
  • Video Downloader for FaceBook
  • Vimeo Video Downloader
  • Vimeo Video Downloader
  • Volume Controller
  • Zoomer for Instagram and FaceBook
  • VK UnBlock. Works fast.
  • Odnoklassniki UnBlock. Works quickly.
  • Upload photo to Instagram
  • Spotify Music Downloader
  • Stories for Instagram
  • Upload photo to Instagram
  • Pretty Kitty, The Cat Pet
  • Video Downloader for YouTube
  • SoundCloud Music Downloader
  • The New York Times News
  • Instagram App with Direct Message DM
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MaaS-стилер BlueFox: новая угроза, которой прочат карьеру RedLine

Эксперты Positive Technologies обнаружили образец инфостилера, похожего на RedLine. Как оказалось, это не новая версия популярного в криминальной среде Windows-зловреда, а его возможный преемник — BlueFox.

Первая реклама BlueFox появилась на русскоязычных хакерских форумах в конце прошлого года. Новый вредонос на C#, предназначенный для кражи данных, на тот момент мало кого заинтересовал: на этом рынке царил RedLine, который, к слову, до сих пор агрессивно распространяется через Telegram-каналы и на YouTube.

В минувшем сентябре создатель BlueFox анонсировал выпуск версии 2 зловреда, которая, видимо, оказалась удачнее прежней и уже получила несколько обновлений. Новобранец по-прежнему предоставляется в пользование как услуга (MaaS, Malware-as-a-Service) и позиционируется как универсальное решение для получения и обработки больших объемов информации с личным сервером и собственным протоколом связи.

 

Код BlueFox 2 сильно обфусцирован. Судя по набору функций, новобранец — классический инфостилер; из дополнительных возможностей аналитики из PT отметили получение скриншотов и загрузку файлов с удаленного сервера. Зафиксирован случай, когда зловред скачал артефакты Raccoon и Vidar. Выполнив все задачи, вредоносная программа удаляет себя, используя команду cmd.exe /C timeout 5 & del "$PATH.

 

Панель управления BlueFox доступна только из даркнета (Tor): пользователю предоставляются настраиваемый билдер и возможность использования кастомного загрузчика. 

По результатам исследования в PT пришли к выводу, что со временем новый инфостилер может приобрести не меньшую популярность, чем RedLine. В ближайшие два года эксперты ожидают широкого распространения BlueFox и, как следствие, массовых вредоносных кампаний с его использованием.

Поскольку версия 2 зловреда шифрует сообщения при обмене с командным сервером (AES в режиме ECB), для защиты от новой угрозы рекомендуется использовать продукты класса XDR, в составе которых есть модуль EDR, интеграция с песочницей и системой NTA, — такие как PT XDR.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru