Забэкдоренное расширение Chrome скачали свыше 200 000 завсегдатаев Roblox

Татьяна Никитина 23 Ноября 2022 - 20:43

...

Забэкдоренное расширение Chrome скачали свыше 200 000 завсегдатаев Roblox

Проведенный в BleepingComputer анализ показал, что плагин SearchBlox для Chrome содержит бэкдор, позволяющий воровать учетки Roblox и Rolimons (торговой площадки геймерского сообщества). На счету расширения числится более 200 тыс. загрузок в Chrome Web Store, компанию Google уже уведомили о неприятной находке.

Поиск SearchBlox в магазине возвращает два результата; оба позиционируются как софт, помогающий быстро отыскать конкретного геймера на серверах Roblox. Согласно статистике Chrome Web Store, одно расширение скачали более 200 раз, другое — 959.

Сегодня утром Roblox-комьнити взбудоражило сообщение: популярный плагин забэкдорен, тем, кто его установил, нужно сменить пароли. В BleepingComputer проверили эту информацию и убедились, что она верна.

В одном варианте SearchBlox, доступном в магазине Google, бэкдор обнаружен в третьей строке файла content.js:

Во втором варианте плагина зловред прячется в файле button.js. Вредоносный URL в обоих случаях один и тот же — hxxps://searchblox[.]site/image.png/image.txt.

Привязанная ссылкой страница содержит HTML-код, который, судя по тегу <img>, должен отображать картинку. Проверка показала, что на самом деле он загружает JavaScript, который закодирован как HTML-сущности, предваряемые символами & и #.

Расшифровка выявила обфусцированный код, предназначенный для вывода данных в домен releasethen[.]site, который, как и searchblox[.]site, был зарегистрирован в этом месяце. Хостинг-провайдер в обоих случаях — литовская компания Hostinger.

Забэкдоренные плагины и используемые ими URL, как обнаружили в BleepingComputer, пока не детектятся антивирусами из коллекции VirusTotal. Справедливости ради стоит отметить, что сегодня, 23 ноября, в 14:56 UTC появился первый положительный результат — для страницы в домене searchblox[.]site.

Всем, кто установил SearchBlox, эксперты советуют немедленно его удалить. Нелишне также очистить куки в браузере и сменить пароли к Roblox, Rolimons и другим сайтам, на которые совершался вход в период использования опасного расширения.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Приложение Авито исчезло из App Store

Яков Шпунт 29 Мая 2025 - 11:26

iOS Домашние пользователи

Приложение «Авито» вновь исчезло из магазина приложений Apple. Причины удаления не раскрываются. В подобных случаях компания рекомендует использовать веб-версию сервиса через браузер.

«Друзья, к сожалению, наше приложение только что исчезло из App Store. Мы ведём переговоры с Apple и выясняем причины. Пожалуйста, не удаляйте установленное приложение Авито с ваших iPhone», — сообщила пресс-служба Авито.

Это уже не первый случай исчезновения приложения Авито из App Store. Аналогичная ситуация произошла в феврале 2019 года — тогда причиной стали нарушения технических требований Apple, однако подробности компания не раскрыла.

Схожий инцидент повторился в июле 2024 года. Тогда официальные причины также не были названы, однако спустя сутки приложение вновь стало доступно для загрузки.

Кроме того, с октября 2024 года приложение Авито недоступно в Google Play. Причины удаления Google не комментировал. При этом установить приложение можно через официальный сайт сервиса или альтернативные магазины. В AppGallery (Huawei), Xiaomi Market и Galaxy Store приложение остаётся доступным.

Напомним, в феврале 2025 года «Авито» увеличила максимальное вознаграждение за обнаружение критических уязвимостей в рамках своей программы Bug Bounty — теперь исследователи могут получить до 500 тысяч рублей.