Odkryto szkodliwe rozszerzenia w sklepie Chrome Web Store

Na początku tego roku Google zdecydowało, że rozszerzenia, które nie są przechowywane w sklepie Chrome Web Store nie mogą być instalowane i używane przez użytkowników przeglądarki Chrome. Decyzja ta miała na celu ochronę przed złośliwym i szpiegującym oprogramowaniem. Niestety, metoda ta w tym przypadku zawiodła - i to kilkukrotnie. Google się nie popisało.

Badacze z Trend Micro przeanalizował niedawno facebookowy scam, który zapraszał użytkowników do obejrzenia filmu z pijanymi dziewczynami. Ci, którzy kliknęli w link zostali informacją odpowiednią pouczeni, że aby zobaczyć wideo muszą pobrać z Chrome Web Store rozszerzenie (rozszerzenie to trafiło do oficjalnego sklepu Google).

Jeśli ktoś nabrał się na tą starą jak świat sztuczkę, przekierowywano go do wideo na YT. Jeszcze nie ma w tym nic niebezpiecznego, ale… Rozszerzenie zostało pobrane i nie służyło do odtwarzania filmu na YT, instalowało się z prawami do komentowania i wysyłania wiadomości na facebooku przez scamerów - pozwalało hakerom w imieniu ofiary wysyłać dowolne wiadomości i komentować w ich imieniu.

Nasze badanie wykazało, że autor rozszerzenia używał prywatnego wirtualnego serwera (VPS) w Rosji, gdzie zarejestrował też kilka domen. Wśród tych domem był też jeden serwer C & C, na którym gromadził skradzione dane od zainfekowanych użytkowników.

To szkodliwe oprogramowanie zostało już usunięte przez Google ze sklepu, co więcej, nie jest to jedyny oszust, któremu udało się ominąć zabezpieczenia Google. Analitycy malware z Trent Micro odkryli kilka podobnych przypadków. Użytkownicy powinni zawsze zastanowić się dwa razy co instalują na swoim komputerze.



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.