Исследователи обнаружили еще 4 вредоносных расширения для Хрома

Эксперты из команды «ICEBRG» сообщили в своем блоге об обнаружении сразу четырех дополнений для Хрома, содержащих вредоносный код.
Хром
Выявить расширения удалось во время анализа подозрительного скачка исходящего сетевого трафика с рабочей станции клиента. Изучение показало, что основу составлял HTTP-трафик для запроса изменения целевого домена, а его источником был один из аддонов Chrome. Строго говоря, расширение не было использовано с максимальной эффективностью – из всех широких возможностей, которые были у злоумышленников, они воспользовались только принудительной загрузкой рекламных страничек и сайтов.

Механизм использования кода JS для отправки команд в браузеры пользователей, следующий. JavaScript-движок Chrome оценивает (выполняет) JS-код, содержащийся в JSON. Из соображений безопасности, браузер предотвращает возможность получения JSON из внешних источников расширения. Оно должно явно запрашивать использование с помощью политики безопасности контента, но если расширение позволяет разрешать директивы unsafe-eval для выполнения таких действий, оно может извлекать и обрабатывать JSON с внешних серверов. Это и дает возможность автору аддона возможность ввода и выполнения произвольного кода JS в момент получения запроса сервером обновлений.

Вредоносный JS-код создает туннель WebSocket, через который и отслеживается прокси-трафик браузера жертвы. Во время наблюдения злоумышленник может использовать эту возможность по своему усмотрению. В конкретном выявленном случае он посещал сайты с рекламой, что указывает на вероятные действия по мошенничеству с заработком на кликах, переходах и просмотре рекламной информации. Исследователи отмечают, что уязвимость может быть использована и для более серьезных действий на компьютере жертвы.

Точное число компьютеров, подверженных этой уязвимости, неизвестно, но исходя из общего количества установок вредоносных расширений, можно предположить, что их более 500 000.

Исследователи не сообщают, являются ли владельцами всех этих расширений какие-то конкретные одни и те же лица, или у каждого дополнения свой автор. Но из-за схожести алгоритмов действия, эксперты предполагают, что дополнения с вредоносным кодом написаны одним человеком либо группой лиц.