Вредоносные VPN-расширения в пиратском игровом установщике крадут данные из Google Chrome
26/12/23
Эксперты из компании ReasonLabs обнаружили три вредоносных расширения для браузера Google Chrome, маскирующихся под сервисы виртуальных частных сетей (VPN). Эти программы, которые использовались для перехвата сессий, взлома систем кэшбэка и кражи данных, были загружены из официального магазина более чем 1,5 миллиона раз.
Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения, поясняет Securitylab.
Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).
Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.
Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.
Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.
Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.
В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.
Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.