Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Вредоносные VPN-расширения в пиратском игровом установщике крадут данные из Google Chrome

26/12/23

henry-everys-bloody-pirate-raid-320-years-agos-featured-photo

Эксперты из компании ReasonLabs обнаружили три вредоносных расширения для браузера Google Chrome, маскирующихся под сервисы виртуальных частных сетей (VPN). Эти программы, которые использовались для перехвата сессий, взлома систем кэшбэка и кражи данных, были загружены из официального магазина более чем 1,5 миллиона раз.

Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения, поясняет Securitylab.

Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).

Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.

Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.

Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.

Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.

В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.

Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.

Темы:ПреступленияVPN-сервисыGoogle Chromeпиратское ПОReasonLabs
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...