Пользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store. По всей видимости, атака исходит из Турции и использует Facebook для распространения ссылок. По нашим наблюдением, пользователи из разных стран оказались заражёнными вредоносными расширениями, которые киберпреступники регулярно посылают в официальный онлайн-магазин.
Как мы уже сообщали в марте 2012 г., бразильские киберпреступники смогли разместить вредоносное расширение в Chrome Web Store. В июне 2012 Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.
Возможно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Теперь, похоже, пришёл черёд турецких киберпреступников: они за последние несколько дней смогли загрузить туда несколько вредоносных расширений.
В ходе одной из атак, за развитием которых мы следили, с некоторых зараженных аккаунтов на Facebook начало рассылаться сообщение следующего вида, содержащее имена некоторых контактов жертвы и ссылки:
Профили, с которых рассылалась ссылка на веб-страницу в домене .tk
http://www.facebookhiledunyasix.tk
http://facebookdayi.tk/
http://superhilemerkezi.tk/
http://facebooklikerr.tk/
http://facebooksuperhile.tk/
Ссылка ведёт на страницу на турецком, на которой, по всей видимости, предлагается обновление для Google Chrome:
«Вам следует обновить Google Chrome»
На странице также предлагается установить расширение…
… которое называется «Chrome Guncellemesi» (обновление Chrome). В других атаках использовалось название «Flash Player 12.1» . Во всех случаях вредоносное расширение размещалось в официальном онлайн-магазине Web Store:
Заглянув в настройки расширения, увидим, что оно запрашивает разрешение на доступ ко всем личным данным на всех вебсайтах, а также разрешение на изменение настроек, cookie-файлов, плагинов и т.д.:
«Мне нужно ваше разрешение делать в браузере всё, что захочу»
Не следует думать, что в Firefox вы защищены от этой напасти. Подобное «обновление» существует и для данного браузера:
«Установить расширение и плагин Firefox»
После установки на компьютер пользователя, расширение делает много пакостей: нажимает кнопку «мне нравится» на профилях нескольких пользователей и компаний — вероятно, это часть схемы по продаже «лайков». Оно также может полностью контролировать ваш профиль в Facebook, крадёт куки-файлы и т.д.
Мы сообщили в Google об обнаруженных вредоносных расширениях; Google их удаляет, но киберпреступники всё время добавляют новые.
Продукты «Лаборатории Касперского» распознают вредоносные расширения браузеров под названием Trojan.JS.Agent.bzv и блокируют все вредоносные URL-ссылки. Если вы используете Google Chrome — будьте начеку; не устанавливайте неизвестные расширения, даже если они распространяются в официальном онлайн-магазине Web Store.
Вредоносные расширения для Chrome