Шкідливе ПЗ з офіційного інтернет-магазин Google Chrome атакувало близько 100 тисяч користувачів в різних країнах. Отримуючи доступ до особистих даних, програма-шкідник привласнювала персональні відомості з соціальних мереж і встановлювала на чужі гаджети сервіс для видобутку кріптовалюти.

Facebook знову відзначився

7 розширень для хрому стали основою шкідливого ПО, що отримав назву Nigelthorn. Поширення йшло через популярну мережу Facebook, де користувачі після переходу за посиланням потрапляли на фейковую сторінку відомого хостингу YouTube. Для подальшого перегляду роликів необхідно було завантажити «зіпсоване» розширення для браузера.

Хакери інтенсивно здійснювали розсилку для найбільшого охоплення аудиторії, активно створюючи персональні повідомлення або відзначаючи інтернет-користувачів у своїх публікаціях. Щоб обійти перевірку безпеки від Google, зловмисники використовували обфускацію, заплутуючи вихідний код. Після того як шкідлива програма оселилася в комп’ютері, Nigelthorn давав сигнал командному сервера і приєднував атаковане пристрій до ботнету.

Розширення перехоплювало логін і пароль користувача Facebook, стаючи повноправним господарем на його особистій сторінці в соцмережі. Шкідливий скрипт не давав власникові облікового запису здійснювати стандартні дії: редагувати профіль, видаляти записи, писати коментарі. Nigelthorn добре забезпечив власну захист шляхом обмеження доступу до вкладці плагінів і блокування утиліт для очищення хрому.

А що далі

Після первісного шкідництва тривало використання персональних комп’ютерів користувачів. На пристрій завантажувався спеціальний JavaScript, який завантажував сервіс для майнінг віртуальних грошей. Зловмисники використовували чужі пристрою, щоб добувати монети виду Bytecoin, Monero і Electroneum.

Більшість потерпілих від шахрайських дій виявилися зосереджені у трьох країнах – Еквадорі, Венесуелі і на Філіппінах. Крім створеного шкідливого плагіна, хакери використовували і інші розширення. Система безпеки пошуковика Google знайшли самостійно ще 4 шкідливого коду і оперативно їх видалила.

За деякими відомостями, такі атаки почалися ще в березні. Кібершахраї впроваджували свої скрипти в копії дозволених розширень, тому у них виходило уникнути стандартних перевірок безпеки гугл. Також повідомляється, що жертвами таких дій стала мережа комп’ютерів одній великій корпорації, назва якої не розголошується.

Постійна оборона

Шкідливі плагіни і хакерські коди з завидною постійністю псують нерви і стають джерелом неприємностей для Google. Не так давно світовий пошуковик позбувся декількох блокувальників реклами в офіційній магазині, які збирали дані про дії користувачів. За деякими підрахунками, розширення–шпигуни були завантажені на персональні пристрої майже 20 млн. разів.

Ще раніше світова корпорація не дозволяла розміщувати в своєму браузері спеціальні утиліти для видобутку електронної валюти. Багато плагіни приховували майнінг кріптовалюти, застосовуючи технічні інструменти користувача без його згоди.

Джерело: http://yoip.com.ua/