Описание вредоносного ПО

Вредоносные расширения для Chrome

Пользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store. По всей видимости, атака исходит из Турции и использует Facebook для распространения ссылок. По нашим наблюдением, пользователи из разных стран оказались заражёнными вредоносными расширениями, которые киберпреступники регулярно посылают в официальный онлайн-магазин.

Как мы уже сообщали в марте 2012 г., бразильские киберпреступники смогли разместить вредоносное расширение в Chrome Web Store. В июне 2012 Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.

Возможно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Теперь, похоже, пришёл черёд турецких киберпреступников: они за последние несколько дней смогли загрузить туда несколько вредоносных расширений.

В ходе одной из атак, за развитием которых мы следили, с некоторых зараженных аккаунтов на Facebook начало рассылаться сообщение следующего вида, содержащее имена некоторых контактов жертвы и ссылки:

Профили, с которых рассылалась ссылка на веб-страницу в домене .tk

http://www.facebookhiledunyasix.tk
http://facebookdayi.tk/
http://superhilemerkezi.tk/
http://facebooklikerr.tk/
http://facebooksuperhile.tk/

Ссылка ведёт на страницу на турецком, на которой, по всей видимости, предлагается обновление для Google Chrome:

«Вам следует обновить Google Chrome»

На странице также предлагается установить расширение…

… которое называется «Chrome Guncellemesi» (обновление Chrome). В других атаках использовалось название «Flash Player 12.1» . Во всех случаях вредоносное расширение размещалось в официальном онлайн-магазине Web Store:

Заглянув в настройки расширения, увидим, что оно запрашивает разрешение на доступ ко всем личным данным на всех вебсайтах, а также разрешение на изменение настроек, cookie-файлов, плагинов и т.д.:

«Мне нужно ваше разрешение делать в браузере всё, что захочу»

Не следует думать, что в Firefox вы защищены от этой напасти. Подобное «обновление» существует и для данного браузера:

«Установить расширение и плагин Firefox»

После установки на компьютер пользователя, расширение делает много пакостей: нажимает кнопку «мне нравится» на профилях нескольких пользователей и компаний — вероятно, это часть схемы по продаже «лайков». Оно также может полностью контролировать ваш профиль в Facebook, крадёт куки-файлы и т.д.

Мы сообщили в Google об обнаруженных вредоносных расширениях; Google их удаляет, но киберпреступники всё время добавляют новые.

Продукты «Лаборатории Касперского» распознают вредоносные расширения браузеров под названием Trojan.JS.Agent.bzv и блокируют все вредоносные URL-ссылки. Если вы используете Google Chrome — будьте начеку; не устанавливайте неизвестные расширения, даже если они распространяются в официальном онлайн-магазине Web Store.

Вредоносные расширения для Chrome

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике