Недавно специалист по информационной безопасности обнаружил почти три десятка расширений в магазине Chrome Web Store с подозрительным поведением. Многие из них позиционируют себя как помощники в поиске, другие — как блокировщики рекламы, средства безопасности или сканеры расширений. Все они загадочным образом связаны с одним неиспользуемым доменом.
Джон Такер, основатель компании по безопасности браузеров Secure Annex, обнаружил подозрительные расширения, помогая клиенту, который установил одно или несколько для мониторинга безопасности. Первый тревожный сигнал: 2 из 132 расширений, которые он проанализировал, не были размещены в списке, то есть они не появляются в поиске в интернете или в Chrome Web Store. Пользователи могут загрузить эти инструменты только по прямой ссылке. Неразмещённые расширения — не такая уж редкость. Компании иногда используют их для ограничения доступа к внутренним инструментам.
Однако злоумышленники часто используют неразмещённые расширения для эксплуатации пользователей, скрывая их и затрудняя их обнаружение Google. После того как Такер начал анализировать 2 подозрительных расширения, он обнаружил ещё 33. Многие из них подключаются к одинаковым серверам, используют одинаковые шаблоны кода и запрашивают одни и те же разрешения.
Программы просят пользователей дать согласие на доступ к чувствительным данным, включая вкладки и окна браузера, куки, хранилище, скрипты, сигналы и API для управления. Этот уровень доступа необычно высок, что облегчает злоумышленникам использование системы пользователя для различных вредоносных целей.
Кроме подозрительного количества разрешений, которые запрашивают эти приложения, их программирование также вызывает беспокойство. Такер обнаружил, что приложения имеют сильно зашифрованный код. Разработчик будет программировать своё ПО таким образом, чтобы усложнить другим анализ и понимание его действий.
В сумме пользователи установили 35 приложений более 4 млн раз. Хотя неясно, как неразмещённые расширения привлекли столько внимания, не появляясь в поисковых системах, Такер отмечает, что 10 из них носили ярлык «Рекомендуемые» от Google — обозначение, которое обычно получают разработчики, прошедшие проверку Google и которым компания доверяет. Он не уточнил, как это могло повлиять на их распространение.
Такер не нашёл прямых доказательств того, что расширения выкачивают данные — но это не исключено. Одно из расширений под названием Fire Shield Extension Protection заявляет, что сканирует Chrome на наличие вредоносных или подозрительных плагинов. После его анализа Такер обнаружил файл JavaScript, который может загружать данные и скачивать код и инструкции с нескольких сомнительных доменов, включая один под названием unknow.com.
Этот домен выделяется тем, что все 35 приложений ссылаются на него в своих фоновых сервисах, несмотря на отсутствие у него видимого веб-присутствия или ясной функции. Записи Whois указывают, что он «доступен» и «продаётся», что странно, учитывая, что так много расширений ссылаются на него.
