111 Chrome-дополнений, загруженных 32 млн раз, уличены в загрузке конфиденциальных данных

19 июня 2020 года

Компания Awake Security сообщила о выявлении 111 дополнений к Google Chrome, отправляющих на внешние серверы конфиденциальные сведения о действиях пользователя, в том числе дополнения имели доступ к созданию скриншотов, чтению содержимого буфера обмена, анализу наличия токенов доступа в Cookie и перехвату ввода в web-формах. В сумме выявленные вредоносные дополнения насчитывали 32.9 млн загрузок в Chrome Web Store, а самое популярное (Sеarch Manager), a было загружено 10 млн раз и включает 22 тысячи отзывов (напоминает накрутку ботом).

Предполагается, что все рассмотренные дополнения подготовлены одной командой злоумышленников, так как во всех использовалась типовая схема распространения и организации захвата конфиденциальных данных, а также встречаются общие элементы дизайна и повторяющийся код. 79 дополнений с вредоносным кодом были размещены в каталоге Chrome Store и уже удалены после отправки уведомления о вредоносной активности. Многие вредоносные дополнения копировали функциональность различных популярных дополнений, в том числе нацеленных на обеспечение дополнительной защиты браузера, повышение конфиденциальности при поиске, преобразования PDF и конвертации форматов.

Разработчики вначале размещали в Chrome Store чистую версию без вредоносного кода, проходили рецензирование, а потом в одном из обновлений добавляли изменения, которые подгружали вредоносный код после установки. В ходе кампании по распространению вредоносных дополнений было зарегистрировано более 15 тысяч доменов, пересекающихся с популярными сайтами (например, gmaille.com, youtubeunblocked.net и т.п.) или зарегистрированными после окончания срока продления ранее существующих доменов. Данные домены также использовались в инфраструктуре управления вредоносной активностью.

В качестве основных путей распространения вредоносных дополнений выделяется продвижение профессионально выглядящих сайтов (как на картинке выше), загрузка через уже установленные рекламные приложения (Adware) и размещение в Chrome Web Store, обходя механизмы проверки для последующей загрузки кода с внешних сайтов. Исследователи проанализировали 100 сетей финансовых, медийных, медицинских, фармацевтических, нефтегазовых и торговых компаний, а также образовательных и госучреждений, и почти во всех из них выявили следы наличия рассматриваемых вредоносных дополнений.

Выявившие проблему исследователи сравнивают вредоносные дополнения с новым руткитом - основная деятельность многих пользователей ведётся через браузер, через который осуществляется доступ к совместным хранилищам документов, корпоративным информационным системам и финансовым сервисам. Злоумышленникам в таких условиях нет смысла искать пути полной компрометации операционной системы для установки полноценного руткита, - гораздо проще добиться установки вредоносного браузерного дополнения и контролировать через него потоки конфиденциальных данных. Кроме контроля за транзитными данными дополнение может запросить полномочия для доступа к локальным данным, web-камере, местоположению. Как показывает практика, большинство пользователей не обращают внимание на запрашиваемые полномочия, а 80% из 1000 популярных дополнений запрашивают доступ к данным всех обрабатываемых страниц.