Исследователи Avast заявили, что обнаружили 28 вредоносных расширений для браузеров Google Chrome и Microsoft Edge. Как правило, это приложения для загрузки изображений, видео или другого контента с популярных сайтов, включая Facebook, Instagram, Vimeo и Spotify.
Исследователи обнаружили вредоносный код в расширениях на основе JavaScript, который позволяет загружать программы на зараженный компьютер. В отчете Avast говорится, что пользователи также жаловались на манипулирование их действиями в Интернете и перенаправление на сторонние веб-сайты.
Каждый раз, когда пользователь кликает по ссылке, расширения отправляют информацию на сервер управления злоумышленника, который может перенаправить жертву на сторонний сайт.
Как минимум, это угроза для конфиденциальных данных, поскольку хакеры получают информацию о всех кликах. Параллельно они собирают личные данные пользователей зараженных устройств: даты рождения, адреса электронной почты и информацию о самом устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, а также IP-адреса.
Исследователи пока не знают, поставлялись ли расширения с предустановленным вредоносным кодом или же для них выпускали вредоносные обновления. Также возможно, что законные разработчики перепродали свои продукты злоумышленникам.
Avast сообщает о следующих приложениях:
- Direct Message for Instagram
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram
- Instagram Download Video & Image
- App Phone for Instagram
- Stories for Instagram
- Universal Video Downloader
- Video Downloader for FaceBook
- Vimeo Video Downloader
- Volume Controller
- Zoomer for Instagram and FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Upload photo to Instagram
- Spotify Music Downloader
- Stories for Instagram
- Upload photo to Instagram
- Pretty Kitty, The Cat Pet
- Video Downloader for YouTube
- SoundCloud Music Downloader
- The New York Times News
- Instagram App with Direct Message DMТе пользователи, которые загрузили одно из этих дополнений, должны немедленно удалить его и запустить проверку на вирусы.
Google и Microsoft пока не сообщают, планируют ли они удалить расширения, о которых сообщает Avast.
Это не первый подобный случай. В 2019 году исследователи обнаружили вредоносные расширения Chrome и Firefox, которые собирали истории просмотров примерно 4 млн человек. Эти данные раскрывали конфиденциальную информацию некоторых крупнейших компаний, включая Tesla, Trend Micro, Symantec и Blue Origin.
Как минимум в одном случае вредоносный код был внедрен в расширение после того, как злоумышленники получили доступ к учетным записям законных разработчиков. В других случаях расширения были опубликованы разработчиками, которым удалось обойти процессы проверки браузеров.
В конце прошлого года основатель Adblock Plus Владимир Палант проанализировал продукты самой Avast: Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice. Он сделал вывод о том, что они собирают намного больше данных пользователей, чем требуется для работы, а также информацию об истории просмотров. Mozilla исключила из своего каталога для Firefox указанные расширения.
Впоследствии исполнительный директор Avast Ондрей Влчек признал, что компания имеет некоторый доход, получая информацию об интересах и привычках пользователей своих продуктов, но эта информация не персонализированная, и угрозы конфиденциальности нет – пишет habr.com.