В Chrome Web Store найдено четыре вредоносных расширения

В основном они используются как рекламные кликеры.
Логотип Chrome и кусочек пазла с иконкой «pay per click»

Исследователи из компании ICEBRG обнаружили четыре вирусных расширения для популярного браузера Google Chrome на его официальном маркете.

Детали находки

К представителям ICEBRG обратился один из европейских VPS-провайдеров для поиска причины появления аномального трафика на рабочей станции своего клиента. Исследование показало, что явление было вызвано работой подозрительного расширения Chrome с ID ppmibgfeefcglejjlpeihfdimbkfbbnm. Им оказалась программа Change HTTP Request Header. Дальнейший анализ проблемы позволил выявить еще три небезопасных расширения:

  • Nyoogle — Custom Logo for Google;
  • Lite Bookmarks, Change HTTP Request Header;
  • Stickies — Chrome’s Post-it Notes.

Все четыре дополнения позволяли хакерам удаленно запускать зловредный JavaScript-код в браузерах, но эти возможности были использованы только для активации рекламных кликеров и загрузки сайтов в новых окнах. Общее число установок вредоносных компонентов превысило 500 тысяч.

Диаграмма активности вредоносного расширения

Код небезопасных модулей в скрытом виде передавался внутри файла JSON, исполняемого JS-движком браузера. Для обхода встроенной политики безопасности (Content Security Policy), запрещающей расширениям исполнять сторонний код, в текстах программ было активировано разрешение unsafe-eval. Чтобы как можно дольше оставаться незамеченными, разработчики внедрили в исполняемый код компонент, проверяющий наличие встроенных средств отладки Chrome (chrome://inspect/ и chrome://net-internals/). При обнаружении таковых, расширение прекращало исполнение вредоносного участка программы.

В данный момент Chrome Web Store уже заблокировал все найденные дополнения. Больше технических деталей реализации алгоритма и коды мошеннических скриптов можно найти в источнике.

Источник: блог ICEBRG

Наши тесты для вас:
Тест на знание сленга веб-разработчиков.
Кто вы во вселенной Звёздных Войн?
А вы точно программист?