Развитие информационных угроз в третьем квартале 2022 года

• Развитие информационных угроз в третьем квартале 2022 года
• Развитие информационных угроз в третьем квартале 2022 года. Статистика по ПК
• Развитие информационных угроз в третьем квартале 2022 года. Мобильная статистика

Целевые атаки

CosmicStrand: новая версия сложного UEFI-руткита

В июле мы опубликовали отчет о новом рутките, который обнаружили в модифицированной прошивке UEFI (Unified Extensible Firmware Interface). Это программное обеспечение, которое при включении компьютера запускается первым и инициирует процесс загрузки ОС. Руткиты — это вредоносные импланты, которые скрываются глубоко в недрах операционной системы. Они умело защищаются от обнаружения и остаются в прошивке, даже если пользователь переустановит операционную систему или заменит жесткий диск. Однако создать их тоже непросто: малейшая ошибка программиста может привести к отказу системы. Тем не менее, составляя прогнозы по APT-угрозам на 2022 год, мы отметили, что число продвинутых группировок, способных разрабатывать такие инструменты, будет расти.

Основное предназначение CosmicStrand — при запуске компьютера скачивать вредоносную программу, которая будет выполнять задачи, поставленные злоумышленниками. Успешно пройдя все стадии загрузки операционной системы, руткит в итоге запускает shell-код и связывается с командным сервером злоумышленников, откуда и получает вредоносную нагрузку.

Перехватить файл, который руткит получает от командного сервера, нам не удалось. Однако на одном из зараженных компьютеров мы обнаружили зловред, который, вероятно, имеет отношение к CosmicStrand. Этот зловред создает в операционной системе пользователя с именем aaaabbbb и делает его локальным администратором.

Мы связываем руткит CosmicStrand с китайскоязычной группировкой и выявили его цели в Китае, Вьетнаме, Иране и России. Все они — обычные люди, пользователи нашего бесплатного антивируса. Предположительно они не имеют никакого отношения к организациям, которые могли бы заинтересовать злоумышленников такого уровня. При этом во всех известных случаях зараженными оказались материнские платы только двух производителей. Вероятно, злоумышленники нашли в них какую-то общую уязвимость, которая позволила им заразить UEFI.

Пока неизвестно, как именно злоумышленникам удалось внедрить вредоносное ПО. Возможно, они нашли способ заражать UEFI удаленно. Не исключено, что пострадавшие пользователи приобрели модифицированную материнскую плату у реселлера.

Группа Andariel распространяет шифровальщики DTrack и Maui

6 июля американское Агентство по кибербезопасности и защите инфраструктуры (CISA) обвинило северокорейскую группировку, поддерживаемую государством, в использовании шифровальщика Maui для атак на организации, работающие в сфере здравоохранения в США. Никаких доказательств CISA не представило, но мы выяснили, что приблизительно за 10 часов до внедрения Maui в целевую систему группировка развернула в этой же системе один из вариантов хорошо известного зловреда DTrack, а еще несколькими месяцами ранее — прокси-сервер 3proxy. Мы считаем, что этого достаточно для того, чтобы с малой или средней степенью уверенности связать эти атаки с корейской APT-группой Andariel (также известной как Silent Chollima и Stonefly).

DTrack — ключевой инструмент Andariel, который собирает информацию о жертве и отсылает ее на удаленный хост. При этом вариант, использованный в рассмотренных атаках, еще и сохраняет собранную информацию на удаленном хосте в сети жертвы. С данными, интересующими злоумышленников, работает уже шифровальщик Maui — обычно он детектируется на атакуемых хостах через 10 часов после активации зловреда DTrack.

Для поддержания удаленного доступа к скомпрометированному компьютеру злоумышленники используют еще один инструмент — 3Proxy.

Для заражения своих целей атакующие эксплуатируют необновленные версии публичных онлайн-сервисов. В одном из случаев зловреды были загружены HTTP-сервером HFS: преступники воспользовались неизвестным эксплойтом, который позволил им запустить скрипт PowerShell с удаленного сервера. В другом — им удалось скомпрометировать сервер WebLogic через эксплойт уязвимости CVE-2017-10271, который в итоге помог им запустить вредоносный скрипт.

Мы выяснили, что группировка Andariel не фокусируется на какой-то отдельной отрасли — она готова атаковать любую подвернувшуюся компанию. Мы обнаружили как минимум одну атаку на компанию из сферы недвижимости в Японии и еще несколько атак в Индии, Вьетнаме и России.

VileRAT: атаки DeathStalker на валютные и криптовалютные биржи продолжаются

В конце августа 2020 года мы писали о группировке DeathStalker и ее активности, в том числе о кампаниях Janicab, Evilnum и Powersing. Позже в этом же году мы написали о кампании PowerPepper. Мы считаем, что DeathStalker — это группа кибернаемников, которые проводят атаки по заказу или торгуют информацией для конкурентной и финансовой разведки. В августе 2020 года мы также опубликовали закрытый отчет о зловреде VileRAT, с которым могли ознакомиться клиенты нашего сервиса информирования о киберугрозах. VileRAT — это написанный на языке Python имплант, который использовался в сложной схеме скрытых атак на валютные и криптовалютные биржи. Мы обнаружили его во втором квартале 2020 года в новой версии Evilnum, что позволило нам связать этот зловред с DeathStalker.

С тех пор как мы обнаружили этот набор инструментов, DeathStalker уже несколько раз обновляла его и использовала в атаках против аналогичных целей.

Злоумышленники предпринимают все меры, чтобы остаться незамеченными, и здесь VileRAT не идет ни в какое сравнение с предыдущими атаками: это поистине самая запутанная, скрытная и осторожная кампания из всех, которые мы связываем с DeathStalker. Новейшие технологии обфускации с помощью VBA и JavaScript, многослойная и низкоуровневая упаковка, реализованная на Python, отказоустойчивый многоэтапный PE-загрузчик, запускаемый в памяти, обход эвристической защиты отдельных поставщиков — преступники предусмотрели все. И наконец, DeathStalker создала обширную инфраструктуру, которая быстро адаптируется к новым условиям.

Однако без багов и нестыковок тоже не обошлось. Размер финальной вредоносной нагрузки VileRAT превышает 10 МБ. Группа выбирает простые векторы заражения и использует много подозрительных моделей коммуникации, выполнение процессов и развертывание файлов легко детектируются, а некоторые сомнительные методы разработки приводят к появлению багов в коде импланта, который в итоге приходится часто обновлять.  Именно поэтому эффективное решение для защиты рабочих мест без труда детектирует и блокирует большинство вредоносных действий VileRAT.

Только по данным, которые мы смогли сверить с нашей телеметрией, мы обнаружили 10 организаций, атакованных (не всегда успешно) DeathStalker с 2020 года, — в Болгарии, Германии, Кувейте, ОАЭ, России, на Кипре, Гренадинах и Мальте.

Какова была основная цель атак на эти компании, мы не знаем: комплексная проверка, поиск ресурсов, сбор информации в рамках гражданского или арбитражного судебного процесса, поиск способов обойти санкции и (или) коммерческий шпионаж — но, по всей видимости, не прямая финансовая выгода.

Бэкдор GoldDragon и командные серверы Kimsuky

Kimsuky — изобретательная и активная группировка, которая атакует преимущественно северокорейские компании. Как и другие продвинутые группы, она часто обновляет свои инструменты. Нам удалось изучить конфигурацию инфраструктуры GoldDragon и выяснить, как злоумышленники проверяли правильность выбора жертв. При проведении атаки используется схема с несколькими командными серверами, размещенными на различных коммерческих хостингах по всему миру.

Атака проходит в несколько этапов. Сначала злоумышленник отправляет целевое фишинговое письмо потенциальной жертве, предлагая скачать дополнительные документы. После перехода по ссылке информация о почтовом адресе пользователя передается на первый командный сервер. Этот сервер проверяет, содержит ли полученный параметр ожидаемый адрес. Если да, то жертве открывается доступ к зараженному документу. IP-адрес жертвы передается на сервер второго этапа. После открытия документа компьютер жертвы подключается ко второму командному серверу, где IP-адрес, полученный от сервера первого этапа, сравнивается с адресом устройства, на котором был открыт зараженный документ. Такая схема позволяет злоумышленникам убедиться в том, что входящий запрос поступил от предполагаемой жертвы. Оператор использует и другие процессы, которые позволяют доставить следующую вредоносную нагрузку с ювелирной точностью. Еще один скрипт на втором командном сервере проверяет тип операционной системы и сравнивает полученные строки User-Agent со значениями из предопределенного списка, чтобы отсеять запросы от исследователей безопасности и автоматических аналитических систем.

Проанализировав содержимое документа-приманки, мы пришли к выводу, что группировка проводила кампанию против людей и организаций, которые ведут политическую и дипломатическую деятельность. Мы знаем, что раньше основной целью Kimsuky были политики, дипломаты, журналисты, профессора и северокорейские диссиденты. Эту гипотезу подтверждают адреса электронной почты, полученные нами из скриптов командного сервера.

Наше исследование показало, что группа Kimsuky очень тщательно проверяет свои жертвы, прежде чем доставить очередную порцию вредоносного ПО на их устройства, и принимает все меры для того, чтобы сбить аналитиков с толку.

Целевые атаки на промышленные предприятия

В августе эксперты Kaspersky ICS CERT сообщили о волне целевых атак на предприятия военно-промышленного комплекса и государственные структуры в Белоруссии, России, Украине и Афганистане. Атаки, которые произошли ранее в этом году, были нацелены на промышленные объекты, конструкторские бюро, исследовательские организации, государственные учреждения, министерства и департаменты. Мы насчитали больше десятка жертв. Примененные в этих атаках тактики, методы и процедуры (TTP) позволяют соотнести их с группой TA428.

Для проникновения в корпоративную сеть злоумышленники рассылали специально составленные электронные письма. Преступники использовали в письмах закрытую информацию, возможно, полученную в ходе предыдущих атак на целевую организацию или другие предприятия, связанные с интересующей их компанией. Документ Microsoft Word, приложенный к фишинговому письму, содержал вредоносный код, который эксплуатировал уязвимость CVE-2017-11882, позволяющую злоумышленникам выполнять на устройстве жертвы любой код без дополнительных действий со стороны пользователя, — в исследуемом случае это был главный модуль бэкдора PortDoor.

Преступники одновременно использовали пять разных бэкдоров — вероятно, для подстраховки. С их помощью они контролировали множество аспектов атакованной системы и собирали конфиденциальные данные. Получив первоначальный доступ, злоумышленники пытались проникнуть и на другие компьютеры, подключенные к этой сети. После получения прав администратора домена они выгружали интересующие их конфиденциальные данные на свои размещенные в разных странах серверы, которые на первом этапе атаки использовались в качестве командных. Злоумышленники упаковывали украденные данные в зашифрованные и защищенные паролем ZIP-архивы. После получения данных командные серверы первого этапа передавали их на командный сервер второго этапа, расположенный в Китае.

Прочее вредоносное ПО

Prilex: комплексная охота на банковские карты

Prilex — известная группировка, появившаяся в 2014 году, которая атакует банкоматы и платежные терминалы. В 2016 году ее основной целью стали платежные терминалы. С тех пор методы преступников значительно усовершенствовались: они создают сложные угрозы, нарушающие цепочку платежа. Сейчас они проводят так называемые GHOST-атаки — мошеннические транзакции с использованием криптограмм, сгенерированных платежной картой жертвы ранее, во время оплаты товара.

Доставить зловред на терминал помогают методы социальной инженерии. Мошенники звонят потенциальной жертве с предложением услуг технического специалиста, который готов обновить программное обеспечение терминала. Затем «технический специалист» приходит в интересующую злоумышленников компанию и устанавливает на терминал вредоносное ПО. Иногда преступники предлагают жертве установить программу AnyDesk, чтобы заразить устройство удаленно, без личного визита.

Прежде чем переходить к активным действиям, они проверяют, сколько транзакций прошло через целевой терминал и стоит ли овчинка выделки. Если их все устраивает, они запускают вредоносное ПО, которое перехватывает текущие транзакции и изменяет их содержимое, чтобы перехватить данные банковской карты. Все полученные данные банковских карт сохраняются в зашифрованном файле, который отправляется на сервер атакующих, позволяя им проводить транзакции через подставной PoS-терминал, зарегистрированный на имя несуществующей компании.

Один скомпрометированный терминал передает мошенникам сведения о десятках, а то и сотнях карт ежедневно. Особую опасность представляют зараженные устройства, расположенные в популярных торговых центрах густонаселенных городов, — каждый день их посещают тысячи людей.

Недавно мы выяснили, что Prilex управляет жизненным циклом разработки своего вредоносного ПО с помощью системы Subversion, которой пользуются профессиональные разработчики. Более того, у Prilex есть (предположительно) официальный сайт, через который она предоставляет доступ к своему инструментарию другим злоумышленникам по модели «вредоносное ПО как услуга» (MaaS). Раньше Prilex продавала вариации своего вредоносного ПО в теневом интернете. Например, в 2019 году немецкий банк потерял более 1,5 млн евро в результате атаки зловреда Prilex. Использование схемы MaaS может привести к глобальному распространению опасного вредоносного ПО для взлома платежных терминалов — с риском потерять миллионы долларов столкнутся компании по всему миру.

Мы нашли сайты и Telegram-чаты, где преступники продают зловреды Prilex. От лица Prilex они предлагают свежие версии программ для взлома PoS-терминалов по цене от 3500 до 13 000 долларов США. Мы не знаем наверняка, кому принадлежат эти сайты, — не факт, что они подлинные.

Luna и Black Basta — новые шифровальщики для Windows, Linux и ESXi

Не только компьютеры на базе Windows становятся мишенью вымогателей — в последнее время участились атаки на устройства с ОС Linux и виртуальные машины ESXi. В этом году мы уже рассказывали о группировке BlackCat, которая распространяет вредоносное ПО, написанное на кросс-платформенном языке Rust. Недавно мы проанализировали еще два семейства зловредов с похожей функциональностью — Black Basta и Luna.

Шифровальщик Black Basta был впервые детектирован в феврале. Он существует в двух версиях — для Windows и для Linux, причем версия для Linux атакует в основном образы виртуальных машин ESXi. Версия для Windows имеет одну ключевую особенность — прежде чем зашифровать данные, она загружает систему в безопасном режиме: это позволяет зловреду избежать обнаружения, поскольку многие защитные решения не работают в этом режиме.

На момент публикации нашего отчета операторы Black Basta сообщили о 40 жертвах, среди которых были производственные предприятия и поставщики электроники, подрядчики и другие компании из США, Австралии, Европы, Азии и Латинской Америки.

Шифровальщик Luna появился в июне. Он тоже написан на языке Rust и служит для шифрования устройств с ОС Windows и Linux, а также образов виртуальных машин ESXi. Реклама этого ПО в дарквебе гласит, что злоумышленники готовы сотрудничать только с русскоговорящими партнерами. Это означает, что их цели расположены, вероятнее всего, за пределами бывшего СССР. Требование выкупа, которое мы обнаружили в коде, написано на английском языке, но с ошибками, что еще раз подтверждает наше предположение.

Вредоносные пакеты в онлайн-репозиториях

В июле мы сообщали о вредоносной кампании, которую мы назвали LofyLife. С помощью нашей внутренней автоматизированной системы для мониторинга репозиториев открытого кода мы обнаружили в npm-репозитории четыре вредоносных пакета, предназначенных для распространения зловредов Volt Stealer и Lofy Stealer.

Найденные нами вредоносные пакеты используются для выполнения простых задач вроде форматирования заголовков или для расширения игровых возможностей. Пакет для форматирования заголовков был на бразильском варианте португальского языка и содержал хештег #brazil. Это говорит о том, что злоумышленников интересовали пользователи из Бразилии. Другие пакеты были на английском языке, поэтому они могли быть ориентированы на пользователей из других стран.

Пакеты содержали обфусцированный вредоносный код, написанный на языках JavaScript и Python. Это затрудняло их анализ при загрузке в репозиторий. Полезная нагрузка состояла из вредоносного Python-скрипта Volt Stealer с открытым исходным кодом и зловреда на языке JavaScript, который мы назвали Lofy Stealer. Volt Stealer использовался для кражи с зараженных устройств токенов Discord вместе с информацией об IP-адресе жертвы и загрузки их по протоколу HTTP на сервер злоумышленников. Lofy Stealer заражал файлы клиента Discord и отслеживал действия жертвы: вход в систему, смену зарегистрированного адреса электронной почты или пароля, включение и отключение многофакторной аутентификации, добавление нового метода оплаты (в этом случае зловред похищал все данные банковской карты). Затем он загружал собранную информацию на удаленное устройство.

npm-репозиторий — это хранилище открытого программного обеспечения, написанного на языке JavaScript. Программисты используют готовые фрагменты кода, загруженные другими пользователями, в собственных веб-приложениях. По сути это глобальная цепочка поставок, по которой вредоносный код, внедренный злоумышленниками, может распространиться на многие устройства. Мы не впервые наблюдаем такое заражение npm-пакетов.

Другие репозитории интересуют злоумышленников не меньше, чем npm. В августе компания Check Point опубликовала отчет с данными о 10 вредоносных пакетах Python, обнаруженных в каталоге PyPI — самом популярном репозитории среди разработчиков Python. Они предназначались для кражи персональных сведений и учетных данных разработчиков. Изучив результаты исследования, мы обнаружили еще два вредоносных пакета Python в каталоге PyPI, которые маскировались под один из самых популярных пакетов с открытым исходным кодом — requests.

Злоумышленник позаимствовал описание официального пакета requests, чтобы пользователи по ошибке устанавливали вредоносную подделку. Кроме того, в описании была приведена фальшивая статистика, даны ссылки на веб-страницы оригинального пакета requests и указана электронная почта автора. Имя оригинального пакета во всех случаях было заменено на имя вредоносного.

Киберугрозы для геймеров

Игровой рынок огромен и продолжает расти. Аудитория этой отрасли насчитывает более 3 миллиардов пользователей по всему миру — это невероятное число потенциальных жертв для злоумышленников, которые выбрали этот сектор своей мишенью. Киберпреступники активно используют трюки социальной инженерии, чтобы уговорить потенциальную жертву установить вредоносное ПО, — обещают версию игры для Android, которой нет в Google Play, бесплатный доступ к играм, коллекцию читов и так далее.

Недавно мы опубликовали отчет об угрозах, с которыми геймеры столкнулись в 2021–2022 гг. Вот его основные положения:

• В течение года до июня 2022 г. «Лаборатория Касперского» заблокировала вредоносное и другое нежелательное ПО на компьютерах 384 224 пользователей. Под видом 28 игр было загружено 91 984 нежелательных файла.
• В пятерку самых популярных среди злоумышленников компьютерных игр вошли Minecraft, Roblox, Need for Speed, Grand Theft Auto и Call of Duty.
• В качестве приманки для пользователей мобильных устройств чаще всего использовались Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA.
• Специфическую угрозу для геймеров представляет вредоносное и другое нежелательное ПО, распространяемое под видом читерских программ. В течение года до июня 2022 г. мы обнаружили 3154 уникальных файла этого типа, которые скачали 13 689 пользователей.
• Все популярнее становится нацеленный на геймеров майнинг — самыми распространенными приманками, которые киберпреступники выбирают для атаки, стали игры Far Cry, Roblox, Minecraft, Valorant и FIFA.

Одним из самых опасных зловредов оказался RedLine, которому мы посвятили отдельное исследование. Этот троянец служит для кражи паролей и распространяется под видом игровых читов с целью кражи учетных записей, номеров банковских карт, криптокошельков и других ценных данных. На своем YouTube-канале злоумышленники учат использовать читы в популярных онлайн-играх, например в Rust, FIFA 22, DayZ и других. Они предлагают геймерам скачать и запустить самораспаковывающийся архив, перейдя по ссылке в описании.

Попав на устройство, троянец начинает передавать своим хозяевам пароли учетных записей, данные банковских карт, cookie-файлы сеансов и другую информацию. На зараженном компьютере RedLine может выполнять команды, загружать файлы и устанавливать другие программы.

Этот троянец умеет не только красть ценные данные, но и майнить криптовалюту. Злоумышленники неслучайно выбирают для этой цели компьютеры геймеров — как правило, это мощные устройства, которые отлично подходят для майнинга.

Под угрозой оказываются не только конфиденциальные данные геймера, но и его репутация. RedLine скачивает видеозаписи со своего командного сервера и публикует их на YouTube-канале жертвы — это те же ролики, через которые зловред попал на устройство геймера. Таким образом, пользователи становятся звеном цепочки распространения вредоносного ПО.

NullMixer: куча зловредов в одном «флаконе»

Устанавливая нелицензионные программы, можно больше потерять, чем сэкономить: один-единственный файл, скачанный с ненадежного сайта, может скомпрометировать вашу систему. В сентябре мы опубликовали анализ троянца-дроппера NullMixer, который загружает на зараженные машины вредоносные программы из самых разных семейств.

NullMixer распространяется через вредоносные сайты, на которые можно выйти через обычный поисковый запрос. Посетители таких сайтов чаще всего ищут «кряки», кейгены и активаторы для взлома программ: они кажутся вполне безобидными, но вместе с таким ПО пользователь загружает на свое устройство и вредоносный дроппер. Чтобы попасть в первые строки результатов поиска, злоумышленники используют методы поисковой оптимизации (SEO).

Целевой сайт проводит пользователя через цепочку редиректов и наконец открывает ему доступ к странице с инструкциями по загрузке и запароленным архивом якобы с искомым файлом. После распаковки и запуска файла дроппер загружает на компьютер жертвы различное вредоносное ПО, в частности из семейств SmokeLoader/Smoke, LgoogLoader, Disbuk, вышеописанного RedLine, Fabookie и ColdStealer, — это бэкдоры, шпионские программы, банковские троянцы, модули для кражи учетных данных, дропперы и другие зловреды.

После запуска всех внедренных файлов стартер NullMixer связывается с командным сервером и сообщает ему об успешной установке. Далее зловреды работают автономно.

С начала года мы заблокировали попытки заражения более чем у 47 778 пользователей по всему миру. Среди стран, жители которых наиболее часто становились целями этого зловреда, Бразилия, Индия, Россия, Италия, Германия, Франция, Египет, Турция и США.

Большая часть загружаемого NullMixer вредоносного ПО — загрузчики. Это означает, что атаки не ограничатся перечисленными в нашем отчете семействами зловредов. Троянец также внедряет немало стилеров, а украденные учетные данные могут в дальнейшем использоваться для внутрисетевых атак.

Потенциальные угрозы, скрывающиеся в браузере

Браузерные расширения помогают решать множество повседневных задач — блокировать рекламу, составлять список дел, проверять орфографию, переводить тексты и многое другое. Они пользуются большой популярностью. В интернет-магазинах Chrome, Safari, Mozilla и других браузеров есть тысячи расширений на любой вкус. Самые популярные из них скачаны более 10 миллионами пользователей. К сожалению, даже безобидные на первый взгляд расширения могут представлять угрозу для безопасности.

Вредоносные и нежелательные дополнения распространяются под видом полезных и часто выполняют афишируемые функции наряду с незаконными. Некоторые маскируются под популярные легитимные расширения. Часто они распространяются через официальные интернет-магазины. В 2020 году Google удалила из интернет-магазина Chrome 106 расширений, которые похищали конфиденциальные пользовательские данные, например файлы cookie и пароли, и даже делали скриншоты. Эти расширения были установлены 32 миллиона раз.

При установке всегда следует проверять запрашиваемые разрешения. Если расширение требует предоставить ему больше прав, чем объективно необходимо, — это повод насторожиться. Например, не стоит устанавливать калькулятор, которому нужен доступ к вашему местонахождению или истории просмотров в браузере. Однако анализ разрешений не всегда может прояснить картину. Иногда формулировки в описании настолько размыты, что по ним невозможно судить о безопасности. Даже простые расширения часто требуют, чтобы им предоставили право на «просмотр и изменение всех данных на посещаемых сайтах». Возможно, это действительно необходимо для их корректной работы, но это дает им почти неограниченные права.

Даже если такое расширение не содержит вредоносного кода, оно по-прежнему потенциально опасно. Многие расширения собирают огромные объемы данных со всех страниц, которые посещает пользователь. Чтобы заработать больше денег, некоторые разработчики передают такие данные третьим лицам или продают их рекламным агентствам. Иногда эти данные оказываются недостаточно анонимными, и информация обо всех посещенных пользователем сайтах и его действиях в интернете может стать достоянием общественности.

Разработчики также могут обновлять расширения автоматически, не требуя согласия пользователя. Таким образом даже легитимные расширения могут превратиться в зловреды.

Недавно мы проанализировали данные из системы Kaspersky Security Network и опубликовали отчет о типах угроз, которые маскируются под полезные браузерные расширения, и статистику атак за период с января 2020 г. по июнь 2022 г.

В первом полугодии текущего года 1 311 557 пользователей пытались загрузить вредоносные или нежелательные расширения как минимум один раз. Эта цифра составляет более 70% от числа пользователей, пострадавших от этой угрозы за весь прошлый год.

С января 2020 г. по июнь 2022 г. рекламное ПО, скрытое в расширениях для браузера, попало на устройства более 4,3 миллиона пользователей. Это приблизительно 70% от числа всех пользователей, загрузивших вредоносные или нежелательные дополнения.

В первом полугодии 2022 года самыми распространенными расширениями с рекламным ПО стали представители семейства WebSearch, которые собирали и анализировали поисковые запросы и перенаправляли пользователей на реферальные сайты.