08/08/24
Исследовательская команда ReasonLabs выявила новую масштабную кампанию распространения троянского ПО через браузерные расширения. Эта кампания активна с 2021 года и нацелена на пользователей Google Chrome и Microsoft Edge. Вредоносные программы маскируются под популярные приложения и игры, распространяемые через поддельные сайты, имитирующие ресурсы, такие как Roblox и YouTube.
Первоначальное заражение начинается с загрузки вредоносного файла, который запускает скрипт PowerShell, пишет Securitylab. Этот скрипт загружает дополнительные компоненты и устанавливает расширения, скрытые от пользователя. Расширения крадут данные, перенаправляют поисковые запросы через серверы злоумышленников и даже блокируют обновления браузеров.
В то же время, пользователи массово жалуются на невозможность удаления некоторых подобных расширений, которые изменяют настройки их браузеров, крадут поисковые запросы и загружают дополнительные вредоносные компоненты. Расширения под разными именами продолжают появляться, несмотря на удаление некоторых из них из магазинов расширений.
Эксперты ReasonLabs подчёркивают важность загрузки программ только с официальных сайтов и использования антивирусного ПО для проверки загружаемых файлов. Пользователи должны быть бдительными и избегать загрузки программ из ненадёжных источников.
Google и Microsoft уже уведомлены о проблеме и предпринимают меры по удалению вредоносных расширений из своих магазинов. Тем не менее, злоумышленники продолжают обновлять свои скрипты, чтобы избежать обнаружения антивирусными программами и продолжать вредоносную деятельность.
