28.07.2021

Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems


В каталогах Chrome Web Store и Microsoft Edge Add-ons выявлено 28 дополнений с вредоносным кодом, суммарно насчитывающих более трёх миллионов установок. Большинство дополнений реализуют функциональность для загрузки изображений, видео и прочего контента из популярных социальных сетей и сервисов, таких как Facebook, VK, Odnoklassniki, Instagram, Vimeo и Spotify. Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы.

В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо исходной ссылки. Помимо этого дополнения перехватывают и отправляют на внешний сервер такие данные, как email-адреса, даты рождения, IP-адреса, информацию о конфигурации оборудования и операционной системы.

Отмечается, что проблемные дополнения были выявлены в ноябре, но вредоносная активность в некоторых из них прослеживается с декабря 2018 года, когда были замечены первые жалобы некоторых пользователей на открытие других сайтов при клике по ссылкам. Пока не ясно распространялся ли вредоносный код изначально или был добавлен в одном из обновлений после накопления большой пользовательской базы. Также не исключается то, что вредоносный код был добавлен новым владельцем после продажи дополнений автором.

Проблемные дополнения в Chrome Web Store:

Дополнительно можно отметить выявление в каталоге RubyGems двух вредоносных пакетов — ‘pretty_color-0.8.1.gem’ и ‘ruby-bitcoin-0.0.20.gem’, которые включали код для кражи криптовалюты. После установки пакетов на системах с ОС Windows запускался процесс для анализа буфера обмена, который определял копирование в буфер обмена адресов Bitcoin, Ethereum и Monero и заменял их на кошелёк атакующего, в расчёте на то, что пользователь не заметит подмены и произведён перевод не на тот адрес. В настоящее время вредоносные дополнения уже удалены из RubyGems.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54277

Добавить комментарий