Исследователи безопасности из Socket обнаружили кампанию атак, в которой участвуют в общей сложности 108 расширений из Chrome Web Store. Согласно блог-посту исследователей, расширения Chrome были опубликованы пятью разными издателями. Однако общая инфраструктура указывает на то, что за ними стоит один и тот же злоумышленник.

Основная цель атаки — кража данных. Согласно данным, расширения собирают множество данных о просмотрах и учетных данных, включая OAuth2-токены для аккаунтов Google и сессии Telegram Web. Некоторые расширения также внедряют подозрительные скрипты на каждый сайт, который посещает пользователь.

В 45 расширениях Chrome исследователи также обнаружили своего рода бэкдор. Он характеризуется тем, что при каждом запуске браузера открывается новая вкладка, которая направляется на URL-адрес, заданный злоумышленником. Последний получается с сервера сразу после открытия веб-браузера и поэтому может меняться в любой момент.

Загрузка по-прежнему возможна

Тем, кто интересуется полным списком вредоносных расширений с именами и ID, а также более подробными техническими деталями содержащегося в них вредоносного кода, могут найти его в блог-посте Socket. Там же указаны домены и адреса электронной почты, используемые злоумышленниками. Имена пяти издателей: Yana Project, Gamegen, Sidegames, Rodeo Games и Interalt.

По данным исследователей, 108 расширений Chrome были установлены в общей сложности около 20 000 раз. Однако это число может еще вырасти в ближайшее время, поскольку, по данным Socket, расширения по-прежнему доступны в Chrome Web Store. Редакция Golem проверила это выборочно и может подтвердить, что по крайней мере некоторые из расширений все еще находятся в сети.

Однако исследователи сообщили Google о своих открытиях. Рано или поздно вредоносные расширения, вероятно, исчезнут из Chrome Web Store. Socket рекомендует пользователям проверить, есть ли какое-либо из их расширений в списке, и при необходимости немедленно удалить его.

Совсем недавно другая исследовательская группа обнаружила 287 расширений Chrome, которые шпионили за поведением пользователей в Интернете для нескольких брокеров данных. С общим числом загрузок более 37 миллионов масштаб этой кампании был значительно больше.