Более 100 вредоносных расширений в официальном магазине Chrome Web Store пытаются украсть токены Google OAuth2 Bearer, развернуть бэкдоры и осуществить мошенничество с рекламой.
Исследователи из компании по безопасности приложений Socket обнаружили, что вредоносные расширения являются частью скоординированной кампании, использующей единую инфраструктуру командно-контрольного центра (C2).
Злоумышленник опубликовал расширения под пятью различными учетными записями издателей в нескольких категориях: клиенты боковой панели Telegram, игры в игровые автоматы и Кено, улучшатели для YouTube и TikTok, инструмент для перевода текста и утилиты.
По данным исследователей, кампания использует центральный бэкенд, размещенный на VPS от Contabo, с несколькими субдоменами, обрабатывающими перехват сессий, сбор идентификационных данных, выполнение команд и операции по монетизации.
Socket обнаружила доказательства, указывающие на операцию по модели «вредоносное ПО как услуга» (MaaS) с российскими корнями, основываясь на комментариях в коде, касающемся аутентификации и кражи сессий.
Сбор данных и угон учетных записей
Самый крупный кластер, включающий 78 расширений, внедряет управляемый злоумышленником HTML в пользовательский интерфейс через свойство «innerHTML».
Вторая по величине группа, насчитывающая 54 расширения, использует «chrome.identity.getAuthToken» для сбора электронной почты жертвы, имени, изображения профиля и идентификатора учетной записи Google.
Они также крадут токен Google OAuth2 Bearer — краткосрочный токен доступа, который позволяет приложениям получать доступ к данным пользователя или действовать от его имени.
Третья партия из 45 расширений содержит скрытую функцию, которая запускается при старте браузера и действует как бэкдор, получающий команды от C2 и способный открывать произвольные URL-адреса. Эта функция не требует взаимодействия пользователя с расширением.
Одно расширение, выделенное Socket как «наиболее серьезное», крадет сессии Telegram Web каждые 15 секунд, извлекает данные сессии из «localStorage» и токен сессии для Telegram Web, а затем отправляет эту информацию в C2.
«Расширение также обрабатывает входящее сообщение (set_session_changed), которое выполняет обратную операцию: оно очищает localStorage жертвы, перезаписывает его данными сессии, предоставленными злоумышленником, и принудительно перезагружает Telegram», — описывает Socket.
«Это позволяет оператору подменить браузер любой жертвы на другую учетную запись Telegram без ведома жертвы».
Исследователи также обнаружили три расширения, которые удаляют заголовки безопасности и внедряют рекламу в YouTube и TikTok, одно, которое проксирует запросы на перевод через вредоносный сервер, и неактивное расширение для кражи сессий Telegram, использующее поэтапную инфраструктуру.
Socket уведомила Google о кампании, но предупреждает, что на момент публикации их отчета все вредоносные расширения все еще доступны в Chrome Web Store.
BleepingComputer подтверждает, что многие расширения, перечисленные в отчете Socket, все еще доступны на момент публикации. Мы обратились к Google за комментариями, но ответа не получили.
Пользователям рекомендуется проверить свои установленные расширения по идентификаторам, опубликованным Socket, и немедленно удалить любые совпадения.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
