Более 100 тысяч пользователей заразились вредоносным ПО из Chrome Web Store

Корпоративная мобильность
мобильная версия

Вредоносные расширения из официального магазина Chrome заразили более 100 тыс. пользователей по всему миру. Они крали данные пользователей их соцсетей и устанавливали на их устройства майнеры криптовалют.


Вредоносы распространялись через Facebook

Более 100 тыс. человек стали жертвами вредоносного ПО, размещенного в Chrome Web Store. Оно способно красть данные пользователей и устанавливать на их компьютеры майнеры криптовалют. О серьезной кампании киберпреступников предупредили эксперты Radware.

Речь идет о 7 расширениях для Google Chrome, в основе которых лежит вредоносное ПО Nigelthorn. Оно распространяется через ссылки в Facebook, после перехода по которым пользователи попадают на фальшивую страницу сервиса YouTube. Там им предлагают загрузить расширение, необходимое для дальнейшего просмотра видео.

Вредоносы приводили пользователей на фальшивую страницу сервиса YouTube

После этого вредонос выполняет скрипт, в результате которого зараженное устройство становилось частью ботнета. У пользователя похищали данные учетных записей Facebook и Instagram, которые использовали для дальнейшей рассылки по списку друзей. А сам компьютер в это время начинал добывать криптовалюты Monero, Bytecoin и Electroneum. Только за последние 6 дней, по данным экспертов Radware, злоумышленники заработали таким образом более $1 тыс.

Среди жертв есть крупная корпорация

Сообщается, что атака была начата как минимум в марте этого года. Вредоносный скрипт киберпреступники внедряют в копии легитимных расширений, что помогает им обойти стандартные проверки Google.

Малвар маскируется под расширения Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. При этом он самостоятельно препятствует удалению расширения, просто закрывая его вкладку, и блокирует все встроенные элементы очистки, имеющиеся в арсенале Facebook и Google. Также пользователи не могут изменять свои данные, оставлять комментарии или создавать публикации.

По данным Radware, жертвами атаки стали, в частности, компьютеры из сети неназванной крупной корпорации. Более 75% заражений приходится на три государства — Филиппины, Эквадор и Венесуэлу. Все остальные атаки относительно равномерно распределены еще между 97 странами.

Стоит отметить, что только 4 из 7 вредоносных расширений были обнаружены и заблокированы Google до публикации отчета, остальные — уже после.