Chrome-расширения с миллионом установок редиректят на рекламные страницы
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Chrome-расширения с миллионом установок редиректят на рекламные страницы

Екатерина Быстрова 25 Октября 2022 - 11:19
...
Chrome-расширения с миллионом установок редиректят на рекламные страницы

Исследователи из Guardio Labs обнаружили новую кампанию злоумышленников, распространяющих вредоносные расширения для Google Chrome. Эти аддоны перехватывают поисковые запросы и выдают рекламные ссылки на веб-страницы своих партнёров.

Авторы расширений рекламируют их под соусом дополнительной кастомизации цветов. На устройство жертвы они попадают без вредоносного кода, что помогает обходить различные сканеры.

В Guardio Labs кампанию назвали “Dormant Colors“. К середине октября 2022 года 30 образцов этих злонамеренных аддонов были доступны в официальном магазине Chrome и Edge. Общее число установок превышало миллион.

 

Цепочка заражения начинается с рекламных объявлений или редиректов, размещённых на определённых веб-страницах. Как правило, такие страницы предлагают загрузить софт или посмотреть видео.

Как только посетитель пытается скачать программу или посмотреть видео, его перенаправляют на сторонний ресурс, где пишут, что сначала надо установить расширение для Google Chrome. Весь процесс эксперты запечатлели в ролике:

 

Если пользователь нажимает кнопки “OK“ и “Continue“, на его устройство устанавливается аддон, якобы позволяющий настраивать цвета. Однако стоит учитывать, что эти расширения способны подгружать вредоносные скрипты, вставляющие ссылки сайтов-партнёров.

«Расширения стараются обфусцировать вызовы API JavaScript и создают два HTML-элемента (colorstylecsse и colorrgbstylesre). Пользователя перенаправляют на рекламный сайт, как будто он перешёл по всплывающему объявлению», — пишут специалисты в отчёте.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян Herodotus научился печатать как человек, обходит антифрод
Екатерина Быстрова 29 Октября 2025 - 09:00
Android Трояны Домашние пользователи
Android-троян Herodotus научился печатать как человек, обходит антифрод

Эксперты по кибербезопасности сообщили о новом Android-трояне под названием Herodotus, который уже используется в атаках на пользователей смартфонов. Главная цель — полный захват устройства и кража данных с банковских приложений. Основная особенность — умение имитировать человеческий ввод при наборе текста.

По данным ThreatFabric, Herodotus — это свежий представитель семейства банковских зловредов, появившийся на подпольных форумах 7 сентября 2025 года.

Его распространяют по модели «вредонос как услуга» (MaaS), то есть любой желающий может арендовать троян для собственных атак.

Несмотря на то что Herodotus не является прямым потомком другого известного банковского зловреда Brokewell, у них есть много общего — вплоть до одинаковых методов сокрытия кода и даже упоминаний «BRKWL_JAVA» внутри самого Herodotus.

 

Как и большинство современных Android-вредоносов, Herodotus активно использует специальные возможности ОС (Accessibility Services). Он распространяется через фейковые приложения под видом Google Chrome (пакет com.cd3.app), которые жертве подсовывают через СМС-фишинг (смишинг) или другие схемы социальной инженерии.

После установки троян получает доступ к экрану устройства, показывает поддельные формы входа в банковские приложения, перехватывает СМС с кодами 2FA, видит всё, что отображается на дисплее, может узнать ПИН-код или графический ключ и даже устанавливать другие APK-файлы удалённо.

Но главное отличие Herodotus — умение притворяться человеком. Вредонос выполняет действия со случайными задержками между 0,3 и 3 секундами, например при вводе текста, чтобы обмануть антифрод-системы, анализирующие скорость и ритм нажатий. Так злоумышленники создают иллюзию, будто с устройством работает реальный пользователь, а не бот.

ThreatFabric также сообщила, что обнаружены фальшивые страницы-оверлеи, созданные для банков и финорганизаций в США, Турции, Великобритании и Польше, а также для криптовалютных кошельков и бирж. Похоже, создатели Herodotus уже готовятся расширять географию атак.

Исследователи подытожили:

«Herodotus активно развивается, использует приёмы, известные по Brokewell, и создан, чтобы закрепиться в активных сессиях пользователей, а не просто красть логины и пароли».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники навязывают трояны под видом приложений для записи к врачам
Новость
Мошенники навязывают трояны под видом приложений для записи...
Apple обвинили в использовании пиратских книг для обучения ИИ
Новость
Apple обвинили в использовании пиратских книг для обучения И...
Yandex B2B Tech готовит платформу Stackland для ИИ в закрытых контурах
Новость
Yandex B2B Tech готовит платформу Stackland для ИИ в закрыты...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.