Забэкдоренное расширение Chrome скачали свыше 200 000 завсегдатаев Roblox

Татьяна Никитина 23 Ноября 2022 - 20:43

...

Забэкдоренное расширение Chrome скачали свыше 200 000 завсегдатаев Roblox

Проведенный в BleepingComputer анализ показал, что плагин SearchBlox для Chrome содержит бэкдор, позволяющий воровать учетки Roblox и Rolimons (торговой площадки геймерского сообщества). На счету расширения числится более 200 тыс. загрузок в Chrome Web Store, компанию Google уже уведомили о неприятной находке.

Поиск SearchBlox в магазине возвращает два результата; оба позиционируются как софт, помогающий быстро отыскать конкретного геймера на серверах Roblox. Согласно статистике Chrome Web Store, одно расширение скачали более 200 раз, другое — 959.

Сегодня утром Roblox-комьнити взбудоражило сообщение: популярный плагин забэкдорен, тем, кто его установил, нужно сменить пароли. В BleepingComputer проверили эту информацию и убедились, что она верна.

В одном варианте SearchBlox, доступном в магазине Google, бэкдор обнаружен в третьей строке файла content.js:

Во втором варианте плагина зловред прячется в файле button.js. Вредоносный URL в обоих случаях один и тот же — hxxps://searchblox[.]site/image.png/image.txt.

Привязанная ссылкой страница содержит HTML-код, который, судя по тегу <img>, должен отображать картинку. Проверка показала, что на самом деле он загружает JavaScript, который закодирован как HTML-сущности, предваряемые символами & и #.

Расшифровка выявила обфусцированный код, предназначенный для вывода данных в домен releasethen[.]site, который, как и searchblox[.]site, был зарегистрирован в этом месяце. Хостинг-провайдер в обоих случаях — литовская компания Hostinger.

Забэкдоренные плагины и используемые ими URL, как обнаружили в BleepingComputer, пока не детектятся антивирусами из коллекции VirusTotal. Справедливости ради стоит отметить, что сегодня, 23 ноября, в 14:56 UTC появился первый положительный результат — для страницы в домене searchblox[.]site.

Всем, кто установил SearchBlox, эксперты советуют немедленно его удалить. Нелишне также очистить куки в браузере и сменить пароли к Roblox, Rolimons и другим сайтам, на которые совершался вход в период использования опасного расширения.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 19:49

Windows Домашние пользователи Корпорации Microsoft

Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров

Microsoft начала постепенно включать встроенную поддержку Sysmon в Windows 11, пока только для части пользователей программы Windows Insider. О планах интегрировать Sysmon напрямую в Windows компания рассказывала ещё в ноябре, а теперь первые элементы этой функциональности добрались до тестовых сборок.

Речь идёт о нативной реализации System Monitor — известного инструмента из набора Sysinternals, который давно используется ИБ-специалистами и администраторами для мониторинга подозрительной активности в системе.

Sysmon умеет отслеживать базовые события вроде запуска и завершения процессов, а при дополнительной настройке — фиксировать создание исполняемых файлов, попытки подмены процессов, изменения в буфере обмена и другие нетривиальные действия. Все события пишутся в журнал Windows Event Log и могут использоваться системами безопасности и SIEM-решениями.

До сих пор Sysmon приходилось устанавливать вручную на каждую машину, что заметно усложняло его использование в крупных инфраструктурах. Теперь Microsoft решила встроить этот механизм прямо в ОС.

«Windows теперь нативно включает функциональность Sysmon. Она позволяет собирать системные события для задач детектирования угроз и использовать собственные конфигурации для фильтрации нужных данных», — сообщили в команде Windows Insider.

При этом встроенный Sysmon по умолчанию отключён. Чтобы им воспользоваться, функцию нужно явно включить в настройках Windows или через PowerShell. Важно учитывать, что если Sysmon ранее устанавливался вручную, его придётся удалить перед активацией встроенной версии.

Новая возможность уже доступна участникам Windows Insider в каналах Beta и Dev, которые установили сборки Windows 11 Preview Build 26220.7752 и 26300.7733 соответственно.

В Microsoft подчёркивают, что события Sysmon по-прежнему пишутся в стандартный журнал Windows, поэтому их можно использовать в существующих цепочках мониторинга и реагирования.

Напомним, что в прошлом месяце компания также начала тестировать отдельную политику, позволяющую администраторам полностью удалять ИИ-ассистента Copilot с управляемых устройств.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »