Złośliwe rozszerzenia w Google Chrome. Miały dosyć nietypowe zadanie
Zaledwie w ubiegłym tygodniu badacze z Avast Intelligence Security informowali o zablokowaniu 28 złośliwych rozszerzeń do przeglądarek Chrome i Edge, a już pojawiły się doniesienia o kolejnych.
27.12.2020 12:50
Tym razem zespół z firmy Kaspersky we współpracy z Yandex wykrył złośliwe rozszerzenia dla przeglądarki Google Chrome. W przeciwieństwie do przypadku z poprzedniego tygodnia, szkodzą użytkownikom w sposób pośredni. Niewykluczone jednak, że ich twórcy mieli plany wykorzystania ich w bardziej szkodliwy sposób.
W wigilijny poranek, systemy bezpieczeństwa Kaspersky zaczęły zgłaszać użytkownikom Google Chrome ostrzeżenia o zagrożeniu. Jego źródłem był Trojan.Multi.Preqw.gen, który przeglądarka próbowała pobrać z zewnętrznych serwerów. Polecenia próbowały wykonać rozszerzenia do Google Chrome, które pobrało 8 milionów użytkowników.
Badacze z Kaspersky, wspólnie ze ekipą Yandexa ustalili, że ponad dwadzieścia rozszerzeń przeglądarki Chrome nadużywało swoich uprawnień. Wśród nich znajdowało się kilka bardzo popularnych, w tym Frigate Light, Frigate CDN i SaveFrom.
Co właściwie robiły złośliwe rozszerzenia?
Atak był dość nietypowy, bowiem rozszerzenia potajemnie odtwarzały określone filmy w tle, aby zwiększać ich liczbę wyświetleń. Niewidzialny dla użytkownika odtwarzacz wideo był aktywowany za każdym razem, gdy uruchamiano Google Chrome. To utrudniało wykrycie złośliwego działania rozszerzeń.
Działające w tle odtwarzacze wideo powodowały obciążenie sprzętu, oraz połączenia sieciowego, co w przypadku użytkowników posiadających ograniczony pakiet dostępu do internetu działało na ogromną szkodę. O ile zwiększony pobór pamięci RAM czy taktowanie procesora można zrzucić na Google Chrome, które jest z tego znane, o tyle cyberprzestępcy popełnili pewien błąd.
Według ustaleń Yandex, użytkownicy czasami mogli usłyszeć dźwięk z filmów odtwarzanych w tle. To powinno dać użytkownikowi znać, że coś jest nie tak z jego przeglądarką. Rosjanie zdołali także udowodnić, że niektóre z rozszerzeń przechwytywały dostęp do kont w sieciach społecznościowych. Nie wiadomo, jaki był ich cel w tym przypadku.
Kogo dotyczy problem i jak pozbyć się złośliwych rozszerzeń w Chrome?
Złośliwe rozszerzenia można zainstalować na każdej przeglądarce opartej o silnik Chromium, a więc nie tylko w Google Chrome ale też Microsoft Edge czy Yandex. Jeśli podejrzewasz, że jesteś ofiarą złośliwych dodatków, najlepiej jest próbować wyłączać je po kolei, metodą prób i błędów, czyli po kolei, analizując różnice w obciążeniu sieciowym. Można to zrobić uruchamiając Menedżer Zadań, za pomocą kombinacji przycisków CTRL+ALT+DEL.
W przypadku rosyjskiej przeglądarki Yandex, wszystkie złośliwe rozszerzenia zostały już wyłączone. W Google Chrome i pozostałych nadal można z nich korzystać. Innym sposobem na pozbycie się złośliwego oprogramowania będzie zainstalowanie programu antywirusowego, chociaż nie wszystkie bazy wirusów mogły zostać już zaktualizowane o nowe zagrożenie.