Пять поддельных расширений для Google Chrome, притворявшихся сервисами для совместного просмотра Netflix и другими полезными инструментами, следили за активностью пользователей и наживались на партнёрских программах интернет-магазинов. В сумме их установили более 1,4 миллиона раз.
На находку обратили внимание исследователи McAfee Оливер Девэйн (Oliver Devane) и Валлабх Чоле (Vallabh Chole). По их словам, расширения предлагали разные функции: совместный просмотр шоу Netflix, купоны для сайтов, создание скриншотов страниц. Причём инструмент для скриншотов позаимствовал ряд формулировок у другого популярного расширения — GoFullPage.
Какие расширения оказались опасными
Все они распространялись через официальный Chrome Web Store. Вот те, что фигурируют в отчёте, с их идентификаторами и числом загрузок:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) — 800 000 загрузок;
- Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) — 300 000 загрузок;
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) — 200 000 загрузок;
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) — 20 000 загрузок.
Как работала схема
Расширения загружали фрагмент JavaScript, который отслеживал посещаемые сайты и внедрял вредоносный код в страницы интернет-магазинов. Это позволяло злоумышленникам зарабатывать на партнёрских программах — им шли отчисления за покупки, которые совершали жертвы.
«Каждый посещённый сайт отправляется на серверы, принадлежащие создателю расширения, — отмечают исследователи. — Так они получают возможность вставлять свой код на страницы e-commerce. Этот код меняет cookie на сайте, чтобы авторы расширения получали партнёрскую выплату за любой купленный товар».
Такую технику называют cookie stuffing — подмену партнёрских меток в файлах cookie. Чтобы не привлекать внимания, зловред откладывал вредоносную активность на 15 дней с момента установки расширения.
Не первый случай
Эта история продолжает череду подобных находок. В марте 2022 года эксперты обнаружили 13 расширений Chrome, которые перенаправляли пользователей из США, Европы и Индии на фишинговые сайты и похищали конфиденциальные данные.
К моменту публикации отчёта все пять расширений уже были удалены из Chrome Web Store. Однако тем, кто успел их установить, рекомендуют вручную удалить дополнения из браузера — иначе риск сохраняется.
Источник: The Hacker News.