Лаборатория Касперского: Вредоносные расширения для Chrome


KasperskyLabsПользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store. Атака исходит из Турции и использует Facebook для распространения ссылок. По наблюдениям специалистов Лаборатории Касперского, пользователи из разных стран оказались заражёнными вредоносными расширениями, регулярно рассылаемыми киберпреступниками по официальным онлайн-магазинам.

Ранее уже сообщалось о подобных размещениях вредоносных расширений в Chrome Web Store. Например, в марте 2012 года бразильскими киберпреступниками.

С июня 2012 года Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.

Вероятно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Турецкие киберпреступники за последние несколько дней смогли загрузить в Chrome Web Store несколько вредоносных расширений.

В ходе одной из атак, с некоторых зараженных аккаунтов на Facebook начали рассылаться сообщения с содержанием имен некоторых контактов жертвы и ссылки:

Profili c kot rassilalas ssilka na web-stranicu v domene tk
Профили, с которых рассылалась ссылка на веб-страницу в домене .tk

  • http://www.facebookhiledunyasix.tk
  • http://facebookdayi.tk/
  • http://superhilemerkezi.tk/
  • http://facebooklikerr.tk/
  • http://facebooksuperhile.tk/


Ссылка ведёт на страницу на турецком, где предлагается обновление для Google Chrome:

Tureckoe obnovlenie dlya Google Chrome
Вам следует обновить Google Chrome

На странице также предлагается установить расширение

Ekleye Tiklayiniz

которое называется "Chrome Guncellemesi" (обновление Chrome). В других атаках использовалось название "Flash Player 12.1" . Во всех случаях вредоносное расширение размещалось в официальном онлайн-магазине Web Store:

Chrome Guncellemesi

В настройках расширения можно увидеть, что оно запрашивает разрешение на доступ ко всем личным данным на всех вебсайтах, а также разрешение на изменение настроек, cookie-файлов, плагинов и т.д.:

Chrome Guncellemesi add to Chrome
Мне нужно ваше разрешение делать в браузере всё, что захочу

Подобное "обновление" существует и для браузера Firefox, поэтому даже с ним защититься от этой напасти не получится

Firefox Eklenti Guncelle
Установить расширение и плагин Firefox

После установки на компьютер пользователя, расширение делает много пакостей:

  • нажимает кнопку "мне нравится" на профилях нескольких пользователей и компаний;
  • может полностью контролировать Ваш профиль в Facebook;
  • крадёт куки-файлы и т.д.

Kod vredonosnogo rasshireniya Trojan.JS.Agent.bzv

Корпорацию Google уже уведомили об обнаруженных вредоносных расширениях. Однако, сколько Google их удаляет, столько же киберпреступники и добавляют новые.

Продукты Лаборатории Касперского распознают вредоносные расширения браузеров под названием Trojan.JS.Agent.bzv и блокируют все вредоносные URL-ссылки.


Обновлено (11.02.2013 18:01)