Опасные браузерные расширения

Как вредоносные расширения воруют криптовалюту, угоняют аккаунты в играх и соцсетях, подделывают результаты поиска и показывают навязчивую рекламу.

Вредоносные браузерные расширения в 2023 году

Мы часто пишем о том, что браузерные расширения могут быть очень опасны. Чтобы проиллюстрировать этот факт, мы решили сделать отдельный материал. В этом посте мы поговорим о самых интересных, самых необычных, самых массовых и самых опасных случаях 2023 года, когда пользователи сталкивались с вредоносными расширениями. А также о том, на что эти расширения были способны, — и, конечно же, о том, как защититься от подобных неприятностей.

Расширения для Roblox с бэкдором

Чтобы задать тон и обозначить одну из главных проблем, связанных с опасными расширениями, начнем с истории, которая стартовала еще в прошлом году. В ноябре 2022 года в Chrome Web Store — официальном магазине расширений для браузера Chrome, принадлежащем Google, — обнаружились два вредоносных расширения с одинаковым названием SearchBlox. У одного из этих расширений было более 200 000 загрузок.

Расширения были предназначены для поиска определенного игрока на серверах Roblox. Однако основным их предназначением был угон аккаунтов игроков Roblox и кража их внутриигровой собственности. После того как информация о вредоносных расширениях была опубликована на Bleeping Computers, они были убраны из Chrome Web Store, а также автоматически удалены с устройств тех пользователей, которые их установили.

SearchBlox: вредоносные браузерные расширения с бэкдором в Chrome Web Store

Вредоносные расширения SearchBlox, опубликованные в Google Chrome Web Store, угоняли аккаунты игроков Roblox. Источник

Однако история с Roblox на этом не заканчивается: в августе 2023 года в Chrome Web Store были обнаружены еще два вредоносных расширения похожей направленности — RoFinder и RoTracker. Как и SearchBlox, эти плагины предлагали пользователям возможность поиска других игроков на серверах Roblox, но в реальности в них был встроен бэкдор. Сообществу пользователей Roblox в итоге удалось добиться того, чтобы эти расширения также убрали из магазина.

RoTracker: еще одно вредоносное браузерное расширение с бэкдором

Вредоносное расширение RoTracker, также размещенное в Google Chrome Web Store. Источник

Это говорит о том, что качество модерации на самой официальной в мире площадке для скачивания расширений для браузера Google Chrome оставляет желать лучшего, и создателям вредоносных расширений достаточно несложно проталкивать в Chrome Web Store свои творения. А для того, чтобы модераторы заметили опасные расширения и убрали их из магазина, как правило, недостаточно отзывов пострадавших пользователей — для этого часто требуются усилия медиа, исследователей безопасности или какого-нибудь крупного сетевого сообщества.

Фейковые расширения ChatGPT угоняли аккаунты Facebook*

В марте 2023 года с разницей в несколько дней в Google Chrome Web Store были обнаружены сразу два вредоносных расширения, которые использовали волну хайпа, поднявшегося вокруг AI-сервиса ChatGPT. В одном из описанных случаев это была зараженная копия настоящего расширения ChatGPT For Google, предлагающего интеграцию ответов сервиса ChatGPT в результаты поиска популярных поисковых систем.

Зараженное расширение ChatGPT For Google было загружено в Chrome Web Store 14 февраля 2023 года. Некоторое время его создатели выжидали, а активное распространение начали лишь месяц спустя, 14 марта 2023 года. Для этого они использовали рекламные объявления в поиске Google. И не без успеха — им удавалось привлекать примерно по тысяче новых пользователей в день, так что к моменту обнаружения угрозы расширение успело набрать более 9000 загрузок.

Зараженная версия расширения ChatGPT For Google

Зараженная версия расширения ChatGPT For Google выглядела совсем как настоящая. Источник

Троянизированная копия ChatGPT For Google работала точно так же, как настоящая, но в нее была добавлена вредоносная функциональность: зараженная версия включала дополнительный код, предназначенный для похищения сохраненных браузером сессионных куки-файлов Facebook*. Используя эти файлы, злоумышленники получали возможность угнать аккаунты Facebook* у пользователей, установивших зараженное расширение.

А затем скомпрометированные аккаунты могли использоваться для чего-то противозаконного. В качестве примера исследователи привели аккаунт Facebook*, принадлежавший производителю домов на колесах, который после угона начал публиковать контент ИГИЛ**

В другом случае злоумышленники создали полностью оригинальное расширение под названием Quick access to Chat GPT. Собственно, расширение делало то, что обещало: позволяло пользователю общаться с ChatGPT, по сути выступая посредником между ним и AI-сервисом, используя для связи официальную API ChatGPT. Но основным его предназначением была опять-таки кража сессионных куки-файлов Facebook*, которые позволяли создателям вредоносного расширения угонять бизнес-аккаунты Facebook*.

Вредоносное расширение Quick access to Chat GPT

Вредоносное расширение Quick access to Chat GPT. Источник

Что особенно интересно, для продвижения вредоносного расширения злоумышленники использовали рекламу в самом Facebook*, оплаченную… за счет тех бизнес-аккаунтов, которые им уже удалось угнать! Таким незамысловатым образом создателям Quick access to Chat GPT удавалось привлекать по паре тысяч новых пользователей в день. В итоге оба вредоносных расширения были убраны из магазина.

ChromeLoader: пиратский контент с вредоносными расширениями внутри

Часто создатели вредоносных расширений не размещают их в Google Chrome Web Store, а распространяют каким-либо другим образом. Например, в начале этого года была замечена новая вредоносная кампания уже достаточно хорошо известного исследователям зловреда ChromeLoader. Основное предназначение этого трояна — установка вредоносного расширения в браузере жертвы.

Это расширение, в свою очередь, показывает в браузере навязчивую рекламу и подменяет поисковую выдачу, подставляя в нее ссылки, ведущие на фейковые раздачи призов, опросы, сайты знакомств, игры для взрослых, нежелательное программное обеспечение и так далее.

В качестве приманки в этом году ChromeLoader использует разнообразный пиратский контент. Например, в феврале 2023 года исследователи рассказали о распространении ChromeLoader в интернете через VHD-файлы (один из форматов образа диска), маскирующиеся под взломанные игры или «кряки» для игр. Среди использованных распространителями названий игр были Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие. Как несложно догадаться, все эти VHD-файлы содержали установщик вредоносного расширения.

Через несколько месяцев, в июне 2023 года, другая группа исследователей выпустила подробный отчет о деятельности того же ChromeLoader, в котором рассказала о распространении зловреда через сеть сайтов, предлагающих пиратскую музыку, фильмы и опять-таки компьютерные игры. В этой кампании вместо настоящего контента на компьютеры жертв скачивались файлы VBScript, которые загружали и устанавливали вредоносное браузерное расширение.

Зловред ChromeLoader устанавливает вредоносное браузерное расширение

Один из сайтов, распространявших под видом пиратского контента зловред ChromeLoader. Источник

Хотя из-за подмены результатов поиска жертвам достаточно легко заподозрить неладное и обнаружить в браузере опасное расширение, избавиться от него не так-то просто. Дело в том, что ChromeLoader не только устанавливает вредоносное расширение, но и добавляет в систему скрипты и задачи планировщика заданий Windows, которые переустанавливают расширение при каждой перезагрузке системы.

Хакеры читают переписку в Gmail с помощью шпионского расширения

В марте 2023 года немецкое Федеральное ведомство по охране конституции и южнокорейское Национальное агентство разведки выпустили совместное сообщение о деятельности киберпреступной группировки Kimsuky, которая использует зараженное расширение для браузеров на основе Chromium — Google Chrome, Microsoft Edge, а также южнокорейского браузера Naver Whale, — чтобы читать Gmail-переписку своих жертв.

Атака начинается с электронных писем, которые взломщики адресно рассылают интересующим их персонам. В письме содержится ссылка на вредоносное расширение под названием AF, а также текст, который убеждает жертву это расширение установить. Расширение начинает действовать, когда жертва открывает Gmail в браузере, в котором оно установлено, — после этого AF автоматически отправляет переписку жертвы на командный сервер злоумышленников.

Таким образом Kimsuky, с одной стороны, удается получить доступ к содержимому почтового ящика жертвы. А с другой — им не требуется прибегать к каким-то хитростям для взлома этого ящика и, в частности, для обхода двухфакторной аутентификации. В качестве приятного бонуса такой метод позволяет сделать все максимально незаметно — в частности, избежать предупреждений жертве от Google о входе в аккаунт с нового устройства и из подозрительной локации, как это было бы при краже пароля от аккаунта.

Rilide: вредоносное расширение крадет криптовалюту и обходит двухфакторную аутентификацию

Также вредоносные расширения нередко используют охотники на чужие криптокошельки. В частности, создатели расширения Rilide, впервые обнаруженного в апреле 2023 года, отслеживают с его помощью активность зараженных пользователей в браузере, связанную с криптовалютами. Когда жертва заходит на сайты из заданного списка, зловредное расширение ворует информацию, связанную с криптокошельками, а также логины и пароли от электронной почты.

Кроме того, это расширение собирает и отправляет на командный сервер историю браузера и умеет делать скриншоты по команде злоумышленников. Но самое интересное умение Rilide — это возможность обхода двухфакторной аутентификации.

Когда расширение замечает, что пользователь собирается совершить криптовалютную транзакцию на одном из онлайн-сервисов, оно вставляет на страницу скрипт, подменяющий диалог ввода кода подтверждения, и ворует этот код. Кошелек получателя платежа при этом подменяется на тот, который принадлежит злоумышленникам, — далее, используя украденный код, расширение подтверждает транзакцию от имени пользователя.

Продвижение Rilide под видом криптоигры

Как в Twitter продвигали вредоносное расширение Rilide под видом криптоигр. Источник

Rilide атакует пользователей браузеров на базе Chromium — Chrome, Edge, Brave и Opera, — имитируя легитимное расширение Google Drive, чтобы не вызывать подозрений. Судя по всему, Rilide свободно продается на черном рынке, так что его используют не связанные друг с другом напрямую злоумышленники. По этой причине разнообразных способов распространения было обнаружено достаточно много — от вредоносных сайтов и электронных писем до зараженных установщиков криптоигр, продвигаемых в Twitter X.

Из особенно интересных вариантов распространения Rilide следует отметить поддельную PowerPoint-презентацию. Эта презентация имитировала руководство по безопасности для сотрудников Zendesk, но на самом деле являлась пошаговой инструкцией по установке вредоносного расширения.

Инструкция по установке Rilide под видом ИБ-презентации

Пошаговая инструкция по самостоятельной установке вредоносного расширения под видом презентации по безопасности для сотрудников компании Zendesk. Источник

Десятки вредоносных расширений с суммарными 87 миллионами загрузок в Chrome Web Store

И, конечно же, нельзя не вспомнить историю лета 2023 года, когда исследователи обнаружили в магазине Google Chrome Web Store несколько десятков вредоносных расширений, у которых суммарно было более 87 миллионов загрузок из магазина. Это были браузерные плагины самой разнообразной направленности — от инструментов для конвертации PDF-файлов и блокировщиков рекламы до переводчиков и VPN.

Причем расширения были добавлены в магазин еще в 2021 и 2022 годах, так что к моменту обнаружения они присутствовали в Chrome Web Store от нескольких месяцев до года и более. Среди отзывов в магазине к некоторым из расширений были даже жалобы бдительных пользователей, рассказывавших, что расширения подменяют адреса в поисковой выдаче на рекламные. К сожалению, модераторами Chrome Web Store эти жалобы были проигнорированы — вредоносные расширения начали убирать из магазина только после того, как внимание сотрудников Google на проблему обратили две группы исследователей безопасности.

Вредоносное расширение Autoskip for Youtube в Google Chrome Web Store

Самое популярное из обнаруженных вредоносных расширений — Autoskip for Youtube — имело более 9 миллионов загрузок из Google Chrome Web Store. Источник

Как защититься от вредоносных расширений

Как видите, опасные браузерные расширения могут появиться на компьютере из самых разных источников — включая и официальный магазин Google Chrome Web Store. А сделать с их помощью злоумышленники могут очень многое — от угона аккаунтов и подмены поисковых результатов до чтения переписки и кражи криптовалют. Поэтому стоит позаботиться о защите:

  • Старайтесь не устанавливать лишние браузерные расширения. Чем меньше в вашем браузере расширений — тем лучше и безопаснее.
  • Если все же устанавливаете расширение, то лучше установить его из магазина, чем с непонятного сайта. Да, там тоже можно встретить опасные расширения, но все же в Google Chrome Web Store хоть как-то заботятся о безопасности.
  • Перед установкой почитайте отзывы о расширении. Если с ним что-то не так, это кто-то мог успеть заметить и сообщить об этом другим пользователям.
  • Периодически просматривайте список расширений, установленных в ваших браузерах. Удаляйте то, чем вы не пользуетесь, — и особенно те расширения, об установке которых вы не можете вспомнить.
  • И обязательно используйте надежную защиту на всех ваших устройствах.

 

*Facebook принадлежит компании Meta, признанной экстремистской организацией в Российской Федерации.

**ИГИЛ — террористическая организация, запрещенная в Российской Федерации.

Советы