Как вредоносные VPN-расширения крадут данные из Google Chrome

[Artifact]

Программы набрали уже более 1,5 миллиона скачиваний в Chrome Web Store.

Эксперты из компании ReasonLabs обнаружили три вредоносных расширения для браузера Google Chrome, маскирующихся под сервисы виртуальных частных сетей (VPN). Эти программы, которые использовались для перехвата сессий, взлома систем кэшбэка и кражи данных, были загружены из официального магазина более чем 1,5 миллиона раз.
Вредоносные расширения распространялись через установщик, скрытый в пиратских версиях таких популярных видеоигр, как Grand Theft Auto, Assassins Creed и The Sims 4. Жертвы скачивали игры через торрент-сайты - это и увеличивало риск заражения.
Google, получив информацию от исследователей, приняла меры и удалила программы из Chrome Web Store. Среди зараженных расширений были netPlus (1 миллион установок), netSave и netWin (500 тысяч установок).
Большинство случаев заражения зарегистрировано в России, Украине, Казахстане и Беларуси. Похоже, кампания изначально была направлена на русскоязычных пользователей.
Расширения устанавливались автоматически и без каких-либо уведомлений на уровне реестра. После установки программа проверяла наличие антивирусов на устройстве, а затем загружала netSave в Google Chrome и netPlus в Microsoft Edge.
Внешне расширения имитировали реалистичный интерфейс легальных VPN-сервисов и даже предлагали платную подписку.
Одной из ключевых характеристик вредоносных программ было использование разрешения 'offscreen'. Оно давало злоумышленникам возможность незаметно взаимодействовать с DOM (Document Object Model, объектной моделью документа) веб-страниц через Offscreen API. Благодаря этому хакеры могли незаметно красть конфиденциальные данные, манипулировать веб-запросами и даже отключать другие инструменты, установленные в браузере.
В списке целей вредоносного ПО были такие известные приложения, как Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper и Backlit.
Расширения также осуществляли обмен данными с командным сервером, передавая инструкции, идентификационные данные жертв, конфиденциальную информацию и многое другое.
Этот инцидент обращает внимание специалистов на серьезные проблемы безопасности, связанные с расширениями для веб-браузеров. Многие из этих программ хорошо замаскированы, что значительно усложняет их обнаружение. Пользователям рекомендуют регулярно следить за отзывами в Chrome Web Store, чтобы быть в курсе любых сообщений о подозрительной или вредоносной активности.