Вредоносные расширения Chrome под видом Netflix Party заразили 1,4 млн пользователей

Пять поддельных расширений для Google Chrome, притворявшихся сервисами для совместного просмотра Netflix и другими полезными инструментами, следили за активностью пользователей и наживались на партнёрских программах интернет-магазинов. В сумме их установили более 1,4 миллиона раз.

На находку обратили внимание исследователи McAfee Оливер Девэйн (Oliver Devane) и Валлабх Чоле (Vallabh Chole). По их словам, расширения предлагали разные функции: совместный просмотр шоу Netflix, купоны для сайтов, создание скриншотов страниц. Причём инструмент для скриншотов позаимствовал ряд формулировок у другого популярного расширения — GoFullPage.

Какие расширения оказались опасными

Все они распространялись через официальный Chrome Web Store. Вот те, что фигурируют в отчёте, с их идентификаторами и числом загрузок:

  • Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) — 800 000 загрузок;
  • Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) — 300 000 загрузок;
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) — 200 000 загрузок;
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) — 20 000 загрузок.

Как работала схема

Расширения загружали фрагмент JavaScript, который отслеживал посещаемые сайты и внедрял вредоносный код в страницы интернет-магазинов. Это позволяло злоумышленникам зарабатывать на партнёрских программах — им шли отчисления за покупки, которые совершали жертвы.

«Каждый посещённый сайт отправляется на серверы, принадлежащие создателю расширения, — отмечают исследователи. — Так они получают возможность вставлять свой код на страницы e-commerce. Этот код меняет cookie на сайте, чтобы авторы расширения получали партнёрскую выплату за любой купленный товар».

Такую технику называют cookie stuffing — подмену партнёрских меток в файлах cookie. Чтобы не привлекать внимания, зловред откладывал вредоносную активность на 15 дней с момента установки расширения.

Не первый случай

Эта история продолжает череду подобных находок. В марте 2022 года эксперты обнаружили 13 расширений Chrome, которые перенаправляли пользователей из США, Европы и Индии на фишинговые сайты и похищали конфиденциальные данные.

К моменту публикации отчёта все пять расширений уже были удалены из Chrome Web Store. Однако тем, кто успел их установить, рекомендуют вручную удалить дополнения из браузера — иначе риск сохраняется.

Источник: The Hacker News.