Пользователи Google Chrome стали жертвами фальшивых блокировщиков рекламы

Авторы браузерного расширения AdGuard обнаружили, что 20 миллионов пользователей Google Chrome пользовались фальшивыми блокировщиками рекламы. Они копировали названия популярных расширений и имели скрытый вредоносный код, позволяющий злоумышленникам удаленно управлять чужими браузерами.

Названия расширений

Вредоносные блокировщики поднимались на верхние позиции поиска благодаря проставленным в описаниях ключевым словам. Вредоносный код был найден в пяти расширениях:

• AdRemover for Google Chrome;
• uBlock Plus;
• Adblock Pro;
• HD for YouTube;
• Webutation.

После обращения AdGuard перечисленные расширения были удалены из каталога.

Ботнет Google Chrome

Опасность скопированных дополнений заключалась в скрытом скрипте. Он связывался с управляющим сервером злоумышленников и отправлял им информацию о посещенных пользователями сайтах. Также код позволял злоумышленникам выполнять любые действия с браузером с повышенными привилегиями.

Чтобы запускаемые скрипты оставались незамеченными, они были скрыты внутри обычного изображения в виде логотипа Google Chrome. Технические детали исследования представлены в блоге AdGuard Research.

Меры предосторожности

Создатели AdGuard сравнили магазин приложений Chrome с минным полем. Чтобы не установить фальшивое дополнение, они посоветовали проверить имя разработчика и найти его сайт. Также исследователи напомнили, что расширения нередко продаются сторонним лицам, способным использовать их со злыми намерениями.

Вирусные дополнения в Chrome Web Store не редкость. В январе 2018 года компания ICEBRG нашла четыре модуля с JavaScript-кодом для показа рекламы.