5 аддонов для Chrome, ворующих данные браузера, установили 1,4 млн раз

Екатерина Быстрова 31 Августа 2022 - 09:07

...

5 аддонов для Chrome, ворующих данные браузера, установили 1,4 млн раз

Исследователи из компании McAfee выявили пять расширений для Google Chrome, задача которых — незаметно отслеживать историю активности пользователя в браузере. В общей сложности этот аддон загрузили более 1,4 млн раз.

Расширения следят за тем, чтобы жертва посещала сайты, занимающиеся онлайн-торговлей, и модифицируют cookies, чтобы все выглядело так, будто пользователь перешел по реферальной ссылке.

Нетрудно догадаться, что за каждый купленный по такой ссылке товар авторы расширений получают вознаграждение. В McAfee перечислили все пять злонамеренных аддонов, указав также их идентификаторы:

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 загрузок
Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 загрузок
Full Page Screenshot Capture (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 загрузок
FlipShope (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 загрузок
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 загрузок

Стоит отметить, что заявленную безобидную функциональность расширения все-таки обеспечивают, что затрудняет обнаружение вредоносной активности. Если у вас установлен один из перечисленных выше аддонов, эксперты рекомендуют удалить его.

В отчете McAfee специалисты указывают на общий принцип работы всех пяти обнаруженных расширений. Например, файл manifest.json диктует поведение аддонов и загружает скрипт B0.js, который отправляет данные активности пользователя в браузере на домен langhort[.]com, находящийся под контролем злоумышленников.

Информация отправляется в виде POST-запросов каждый раз, когда жертва посещает новый URL. Среди посылаемых сведений есть закодированная ссылка, идентификатор пользователя, геолокация устройства (страна, город, почтовый индекс) и реферальный URL.

Файл B0.js отвечает за модификацию или подмену cookies. Специалисты McAfee записали небольшое видео, демонстрирующее процесс изменения cookies в режиме реального времени:

Чтобы избежать детектирования, некоторые из выявленных расширений ждут 15 дней после установки, после чего начинают отправлять пользовательские данные на сервер авторов.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 01 Апреля 2026 - 14:46

Android Трояны Домашние пользователи F6

Под видом «Фитнес помощника» в Telegram распространяют Android-зловреды

Компания F6 выявила новую кампанию по распространению мобильных вредоносных приложений. Для этого злоумышленники создают поддельные телеграм-каналы брендов спортивной одежды, через которые распространяют APK-файлы с зловредами.

О новой вредоносной кампании сообщили специалисты F6. Обнаруженный Android-зловред называется «Фитнес помощник» и позиционируется как приложение для подсчёта калорий.

«Аналитики зафиксировали активность поддельного телеграм-канала с 5,5 тыс. подписчиков, который практически идентичен официальному каналу бренда спортивной одежды и куда дублировались сообщения из легитимного канала. На поддельном ресурсе под видом приложения „Фитнес помощник“ для подсчёта калорий предлагается скачать APK-файл, в котором скрыто вредоносное приложение для Android», — пояснили в F6.

Зловред также обнаружили на ряде других каналов-двойников, посвящённых здоровому образу жизни. Кроме того, там были выявлены неактивные боты по продаже слотов на популярные в России марафоны.

Распространяемое злоумышленниками приложение собирает данные с устройств, включая уведомления и СМС-сообщения. Это позволяет атакующим получать доступ в том числе к банковским приложениям.

Как отметил ведущий аналитик F6 Digital Risk Protection Евгений Егоров, маскировка под известные бренды остаётся одним из самых простых и надёжных способов распространения фишинговых ссылок и вредоносных приложений. При этом злоумышленники сознательно выбирают ресурсы не самой массовой тематики, где аудитория меньше ожидает столкнуться с киберугрозами.

В компании напомнили о необходимости соблюдать базовые правила кибергигиены: не переходить по ссылкам на неизвестные ресурсы, не устанавливать приложения из сомнительных источников и внимательно проверять системные разрешения при установке.

Злоумышленники уже не впервые пытаются распространять зловреды под видом легитимных приложений. Так, в ноябре прошлого года была зафиксирована массовая кампания по навязыванию вредоносных приложений, маскировавшихся под антирадары и сервисы предупреждения о дорожных камерах. Для их продвижения тогда также использовались телеграм-каналы автомобильной тематики.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!