В Chrome Web Store найдено четыре вредоносных расширения

Исследователи из компании ICEBRG обнаружили четыре вирусных расширения для популярного браузера Google Chrome на его официальном маркете.

Детали находки

К представителям ICEBRG обратился один из европейских VPS-провайдеров для поиска причины появления аномального трафика на рабочей станции своего клиента. Исследование показало, что явление было вызвано работой подозрительного расширения Chrome с ID ppmibgfeefcglejjlpeihfdimbkfbbnm. Им оказалась программа Change HTTP Request Header. Дальнейший анализ проблемы позволил выявить еще три небезопасных расширения:

• Nyoogle — Custom Logo for Google;
• Lite Bookmarks, Change HTTP Request Header;
• Stickies — Chrome’s Post-it Notes.

Все четыре дополнения позволяли хакерам удаленно запускать зловредный JavaScript-код в браузерах, но эти возможности были использованы только для активации рекламных кликеров и загрузки сайтов в новых окнах. Общее число установок вредоносных компонентов превысило 500 тысяч.

Код небезопасных модулей в скрытом виде передавался внутри файла JSON, исполняемого JS-движком браузера. Для обхода встроенной политики безопасности (Content Security Policy), запрещающей расширениям исполнять сторонний код, в текстах программ было активировано разрешение unsafe-eval. Чтобы как можно дольше оставаться незамеченными, разработчики внедрили в исполняемый код компонент, проверяющий наличие встроенных средств отладки Chrome (chrome://inspect/ и chrome://net-internals/). При обнаружении таковых, расширение прекращало исполнение вредоносного участка программы.

В данный момент Chrome Web Store уже заблокировал все найденные дополнения. Больше технических деталей реализации алгоритма и коды мошеннических скриптов можно найти в источнике.