Według analityków, którzy w czwartek ujawnili swój raport, ponad 500 rozszerzeń przeglądarki Chrome potajemnie przesyłało prywatne dane przeglądania na serwery kontrolowane przez osoby atakujące. Chodzi o miliony pobrać ze sklepu Google Chrome Web Store.

Cała akcja wydaje się dobrze zorganizowana, bo jest częścią działającej od wielu miesięcy grupy, która rozsiewała fałszywe reklamy i zainfekowane pliki. Sprawę odkryła analityczka Jamila Kaya. Razem z ekipą z firmy Duo Security, która należy do Cisco, zidentyfikowali 71 rozszerzeń Chrome, które miały na swoim koncie ponad 1,7 miliona aktywnych instalacji.

Analitycy niezwłocznie zgłosili odkrycie do Google, a firma znalazła kolejne 430 niebezpiecznych rozszerzeń. Od tamtej pory wszystkie te rozszerzenia zostały usunięte. We wspomnianym raporcie możemy przeczytać:

„W opisanym przypadku twórcy rozszerzeń Chrome specjalnie opracowali takie rozszerzenia, które przykrywały podstawową funkcję. Dokonano tego, aby połączyć klientów z osobą dokonującą ataku, wyciągano prywatne dane przeglądania bez wiedzy użytkownika, narażano go na wykorzystanie jego danych, jednocześnie unikając zabezpieczeń sklepu Chrome Web Store”.

Pętle przekierowań od razu były podejrzane

Większość z zainfekowanych rozszerzeń była reklamowana jako narzędzia promocyjne i inne tego tupu usługi. Faktycznie jednak zaangażowane były w oszustwa (głównie reklamowe) wywołujące pętle przekierowań. Wtyczka łączyła się z domeną macierzystą (o takiej samej nazwie jak rozszerzenie), następnie następowało przekierowanie przeglądarki na jeden z kilku serwerów, aby wywołać dodatkowe skrypty. Dalej przesyłano dane prywatne.

Wiele z reklam prowadziło na szczęście do łagodnych reklam takich jak Macy, Dell czy Best Buy. Były też reklamy bardziej złośliwe. Instalowane było złośliwe oprogramowanie, m.in.:

  • ARCADEYUMGAMES.exe – otrzymywało dostęp do wrażliwych informacji w przeglądarce
  • MapsTrek.exe – miał dostęp do schowka użytkownika

Kampania działała podobno od początku roku 2019. Dość szybko się rozwinęła i zainfekowała sporo urządzeń. Analitycy sugerują rozpoczęcie tej działalności nawet w roku 2017. Każda z tych 500 wtyczek wydawała się inna, ale każda z nich zawierała niemalże identyczny kod źródłowy.

Poniżej lista rozszerzeń ujawnionych przez Jamilę Kaya (jak pojawi się pełna, na pewno ją zaktualizujemy):

  1. PackageTrak Promos
  2. ProMediaConverter Promotions
  3. EasyToolOnline Promos
  4. CrushArcade Ads
  5. GreatArcadeHits Ads
  6. ArcadeFrontier Ads
  7. MapsFrontier Advertising
  8. SuperSimpleTools Promos
  9. Advertisements by ArcadeYum
  10. PackTrackPlus Promos
  11. EasyToolOnline Promos
  12. PlayPopGames Ads
  13. QuickNewsPlus Promos
  14. GameZooks Advertisements
  15. PackTrackPlus Promotions
  16. PackTrackPlus Promotions
  17. MapsFrontier Advertisement Offers
  18. ExpressDirections Promos
  19. MapsTrek Promos
  20. ClassifiedsNearMe Promos
  21. MapsTrek Promos
  22. ClassifiedsNearMe Promos
  23. ExpressDirections Promos
  24. MapsTrek Offers
  25. MapsVoyage Promotions
  26. FreeWeatherApp Promotions
  27. EarthViewDirections Promotions
  28. MapsFrontier Advertisements
  29. ArcadeCookie Offers
  30. RecipeAlly Promos
  31. MapsTrek Promotions
  32. Offers by MapsFrontier
  33. GamesChill Ads
  34. PackTrackPlus Promotions
  35. MapsVoyage Ads
  36. Advertising by MapsFrontier
  37. PlayZiz Advertisements
  38. Advertising Offers by MapsVoyage
  39. MapsFrontier Advertising Offers
  40. FreeWeatherApp Promos
  41. FreeWeatherApp Advertisement Offers
  42. ExpressDirections Ads
  43. YoYoQuiz Promotions
  44. MapsVoyage Advertising
  45. MapsPilot Ad Offers
  46. GoFreeRadio Promos
  47. Advertising Offers by FreeWeatherApp
  48. Advertisement Offers by QuizKicks
  49. Ads by MapsVoyage
  50. JumboQuiz Advertising
  51. MapsScout Advertising Offers
  52. DeluxeQuiz Advertising
  53. SuperSimpleTools Promos
  54. Advertising by MapsPilot
  55. Advertisements by MapsScout
  56. PackageTrak Promos
  57. Ad offers by Froovr
  58. PackageTrak Promos
  59. GameDaddio Marketing
  60. DearQuiz Advertising
  61. Offers by MapsScout
  62. YoYoQuiz Advertisements
  63. Advertisment Offers by GameDaddio
  64. QuizFlavor Advertising
  65. Advertisements by QuizDiamond
  66. QuizPremium Advertisements
  67. CouponRockstar Offers
  68. MapsFrontier Promos
  69. Advertising Offers by MapsPilot
  70. PlayThunder Offers
  71. LoveTestPro Ad Offers