Компания Microsoft удалила из магазина Edge 119 расширений, которые были связаны с одной рекламной кампанией.
В статье под названием«Inside StegoAd: How We Disrupted a Massive Malicious Extension Campaign»(«Изнутри StegoAd: как мыпресекли масштабнуюкампанию по распространению вредоносных расширений») исследователи из Microsoft подробно описывают, как им удалось раскрыть и ликвидировать сложную вредоносную кампанию, в которой для заражения пользователей использовались расширения браузера. По данным Microsoft, в рамках этой кампании было задействовано 119 вредоносных расширений браузера, которые скачали 2,6 миллиона пользователей.
Все эти расширения обещали — и действительно предоставляли — какой-то базовый набор функций: блокировку рекламы, VPN, переводчики, программы для скачивания видео, калькуляторы, расширения с купонами и так далее. Но со временем они оказались«замаскированными»и начали незаметно загружать дополнительное вредоносное ПО.
Среди полезной нагрузки было вредоносное ПО, используемое для мошенничества с рекламой, а также расширения, которые запускали произвольный код JavaScript, передаваемый с сервера: они похищали учетные данные Google и коды двухфакторной аутентификации при входе в систему, собирали учетные данные администраторов WordPress и массово выводили файлы cookie для перехвата сеансов.
Название кампании «StegoAd» образовано от слов «реклама» и «стеганография», под которой понимаются методы сокрытия секретной информации в том, что на первый взгляд не вызывает подозрений. В данном случае речь идет о сокрытии кода в изображениях.
При этом киберпреступники не только пытались остаться незамеченными, выжидая некоторое время и скрывая вредоносный код внутри изображений, но и оставляли некоторых жертв в покое. Некоторые из этих расширений становились вредоносными лишь примерно в 10 % случаев установки, причём именно в этих случаях запускался следующий этап работы вредоносного ПО, тогда как остальные ~90 % оставались незатронутыми (по крайней мере, в рамках данной попытки запуска). Кроме того, в некоторых случаях они повторно использовали названия хорошо известных легитимных расширений, чтобы вызвать у пользователей дополнительное доверие.
Расширения для браузеров являются источником дохода для киберпреступников, поскольку их установка сродни установке небольшой программы, которая работает внутри вашего браузера и может отслеживать и передавать информацию обо всех ваших действиях в Интернете.
Я слышу, как некоторые из вас думают: «Я не пользуюсь Edge». Или: «Я пользовался им всего один раз — чтобы скачать и установить свой любимый браузер». Но хотя Microsoft обнаружила и проанализировала эту кампанию, методы, использованные в ней, применимы к браузерам на базе Chromium в целом.
Эта кампания была направлена не столько на использование уязвимости браузера, сколько на то, чтобы обманом заставить пользователей установить расширение, выглядящее надежным, а затем с помощью сложных методов маскировки избежать обнаружения в течение времени, достаточного для взлома систем.
Как оставаться в безопасности
Всегда будьте осторожны при загрузке расширений, даже из авторитетных магазинов приложений. Как мы уже не раз убеждались, злоумышленникам удаётся разместить свои приложения или расширения в списках, хотя от превращения их в вредоносное ПО их отделяет всего одно обновление. Поэтому убедитесь, что вы доверяете разработчику, и не полагайтесь исключительно на отзывы.
Используйте актуальное решение для обеспечения безопасности в режиме реального времени, чтобы обнаруживать и удалять вредоносные расширения с вашего устройства, а также блокировать подключения к вредоносным доменам и IP-адресам. Удалите из браузера известные вредоносные расширения. Ниже приведён алфавитный список вредоносных расширений, обнаруженных исследователями, с указанием их названий.
Обратите внимание, что может существовать несколько расширений с одинаковым названием. Если вы не уверены, входит ли установленное вами расширение в их число, проверьте, совпадает ли его идентификатор с указанным в списке. Если вы предпочитаете искать расширения по идентификатору, вы найдёте их в отчёте Microsoft, где они сгруппированы по-другому (страницы 40–43).
| Название расширения | Идентификатор расширения |
| #Лучший# PDF Saver | джебкдимкцимкафекгбгбхукдаджкоэиб |
| Кнопка «Скачать» для YouTube | jbmkcmhocoddcokjkahpcchanlmiffhg |
| Кнопка «Сохранить» для Pinterest | fhkijdlfjnpimenfpnegkecbbijmoipm |
| …Программа для создания скриншотов страниц | maiackahflfnegibhinjhpbgeoldeklb |
| 7TV | nmhdjlflloeeahacgomilnhmpfnhlpkn |
| Adblock | aooacabidfijofopjaeligonlfobjcjb |
| Adblock | dckihkcdmjmlkndgmmgplpcnkmdpangb |
| Adblock (клон µBlock) | кмиахфблцнмлобепелпгкмолодмиек |
| Adblock для Edge | kikacehfccglblphddbifmiaeiglfdfi |
| Adblock Master | dgmpkflgbcbpjgniahjegbpelmofbgnn |
| Adblock Master | hninibdhkeepfndhcdknlijeapngbgdp |
| Adblock Master для YouTube | jnakfjmfmjmfpmdnghedafdphdanbjkh |
| Блокировщик рекламы для YouTube | afakckepbbffmnoghgpfnnebijeahjcb |
| Блокировщик рекламы для YouTube | gclhifbbggfamoojmienffegbmmfnfll |
| Adblock для YouTube™ | nipggfgilmoiofmnkbeabghbcaohmjih |
| Adblocker FX | fkkoeecbjckjpnmenebojblcljjgbpoj |
| Adblocker Plus YouTube™ | имихеоеххеаебигкджаильфмекиикдждбд |
| AdFly Skipper для Edge | nhfohdhgahjpmniccbgflilignkcnmai |
| AdSkip — iQIYI | mimmainmmkddahakleojidjaimaofndp |
| Ads Block Ultimate | fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
| AI Search GPT для Edge | beemogkfhphmjghmkghdaggidgohohee |
| Поиск с помощью ИИ с ChatGPT | jgngkchljnldpnjimaboboomjmpfpoie |
| Прогноз погоды на основе искусственного интеллекта | иаэхмхмдидпкфмддиодклоэфндпггцй |
| AliExpress Helper | elecjoakfjcmjoppfconlfgfemjcaoea |
| Автоматический пропуск рекламы на YouTube | dcelinkcepeidliddjhapgjokheoldjb |
| Программа просмотра Axure RP | aekfeebhjlmielppjlhebapokdkelion |
| Программа для пакетной загрузки изображений | hnleilhpfbdofpdnnpjggafhncienakg |
| Программа для пакетной загрузки изображений | ibfjnghdeenopfkpbmnkablkfejnlnif |
| Лучший инструмент для проверки скорости | eklcgjodcnhhcghpbhehhbnmjncbopcg |
| Лучший YouTube | cjjcndlebdepeddfopnhpifmbfecocfh |
| Усилитель цвета | bmmchpeggdipgcobjbkcjiifgjdaodng |
| Раскраска по номерам | aljmdjbcbkanlhnmcdjbefaomgbekhno |
| ColorZilla | mdjeohcdegpfoppocljbccpognjlkjke |
| Конвертировать все | ielbkcjohpgmjhoiadncabphkglejgih |
| Классный курсор | ajbkmeegjnmaggkhmibgckapjkohajim |
| CrxMouse – Супер-перетаскивание | pohfogacehhgefhgmcmnojflfakllkal |
| Жесты CrxMouse | imcbcfmohachfahkbgijokokjpfmoogb |
| Пользовательская новая вкладка для Edge | dbhgpbaaedlknnnochmkjfacnfnakkfa |
| Программа для скачивания из Instagram | higdalghhdbfffdjdiaenminajlmmldb |
| Скачать все изображения | hnggnhinapdcjocbciajaffnofecfale |
| Выделение Edge | ijgobfhjjipoljjcejmafocdnfnloflm |
| Эффективный блокировщик рекламы для YouTube | oejbpnadmkdiofacgknaaagbmmonhgpb |
| Расширьте возможности YouTube™ | jecnjeedhbokmpckobjbgieglfjcomek |
| Evernote в закрепленной вкладке | elljfaejhdaplocgcejlhfemgimbmcdp |
| Focus To-Do: таймер «Помодоро» и список дел | nlapjaaepfeadiecaipnacimidfjginj |
| Бесплатная программа для скачивания онлайн-видео | bpdanoaacmebjgfjdmekfcfgmnaoekim |
| Переводчик G.B.B.D | fdjpommjpahieenehallhicdhponhacm |
| GIPHY для Edge | gggjlnkbmgmjboipaegjmjmehmcekamo |
| Проверка Gmail | nhjdhmbdahdidccpobobccagmmijndmp |
| Google Hangouts | adnahjjfjjemdiefpobclponnhkijnmo |
| Исправление ссылки на поиск Google | mjofmhcbolkekhebpccldlbdamnfjefc |
| Google Translate в правой кнопке мыши | fcoongackakfdmiincikmjgkedcgjkdp |
| Hiddence VPN | akfklmfpgmkkhiiolnfbhalkeccjnmeb |
| HLS Stream Downloader | fgbfcndckldbjifhjgijpjmnpekkelkb |
| IG Downloader для Edge | ncbpkjcnklnbnkjpcamhhoedlkljeolo |
| Image Downloader — пакетная загрузка | ngeoikidkjbegoifbnmfimacmbilfcgi |
| Image Downloader Pro | gnbnbmnldhfoplgjojhepikgjanaplle |
| Imageye | ikfdcmchafnmklcndfegdlefcfoaggni |
| ImTranslator | bbofakpgfmlfjpjcahodgpbddocpibge |
| Блокировщик рекламы iQiyi | hlkenllnegiplhjhpobgangolfkjcgab |
| iVideo Downloader | amfboegfahhedgehddflgcfbdaapllfj |
| iYouTubeToMP4 | bemebcpaekkmffjjbdakpipemmmlgchb |
| Language Reactor | hffpfdhdjpbnaddaidajedimmpckekkl |
| Стартовая страница в режиме реального времени | egbkgelnkodaldbpkgjmhcekjakkcpnk |
| Магические действия для YouTube | pjhoiegecdlpaohfffpajaldpbilngog |
| Маринара: Помодоро®-ассистент | mebgpfbaibhepnkljpimlijicgkbangk |
| Переводчик всплывающих подсказок мыши | ibjjllhemkfgfbkgohldepcdgiigpdkb |
| Natural Reader — преобразование текста в речь | eopjamlpanhfkcbnoeofcnmdfdiogfgl |
| Новая вкладка — настраиваемая панель инструментов | edohfgmjmdnibeihfcajfclmhapjkooa |
| Ночной режим | engcfdjknekakgpjkhdobneidcpfbfgm |
| Ночной режим | pgcamkdibinodcpkhenjmofbfobpebpn |
| Один ключ Перевести | джихипмфмикджпбпмоцеапфджимигмемфам |
| Воспроизведение в режиме «картинка в картинке» | kemjiblbeciejjlgobbkffbpnceieefh |
| Piggy — автоматические купоны | gmaoimcaoimgmomockloieoifjocpkmf |
| Кнопка «Сохранить» на Pinterest | kakgeonhimhojdncehlopejkfaapboeo |
| Вернуть кнопку YouTube | cgoigjefilgfmcjnnendlpdaonlfoncf |
| RSS-канал | gmciomcaholgmklbfangdjkneihfkddd |
| Сохранить в формате PDF | mlgefgipndlgdfjfgnjfheigkagjieea |
| Сохранить в Pinterest при щелчке правой кнопкой мыши | glgbgppjjkldoifgpbhbpbkbcdjpgpfj |
| Шейдер экрана | Тёмный режим | olcibgopfmndlnghnmogcgdhdffdbicg |
| Похожие сайты — найдите похожие сайты | fifeankddgioinbcchlokclbcgjlopjj |
| Похожие сайты на Edge | fhhinoefbjlmhakpjohnpabdobgmphli |
| Простой инструмент для массовой загрузки | dbhdfkiddhdhmcikjdgblfjbenjfjlfh |
| Менеджер публикаций в социальных сетях | инеленлальджофеекхджинпджкацйокагке |
| SpeakIt! | badiigfpcpfckbhmpmkhokagppaadkim |
| Регулировка скорости просмотра на YouTube | eindenipbnkpeofhpjjimphfchmjoohe |
| Инструмент проверки орфографии и грамматики | fljmegmgjebjdionedkjfgffikhnmcgg |
| ssYoutube – Программа для скачивания видео | okmfpehbgckbneedidbladdaiekikcdo |
| Резюме с помощью ChatGPT | dokiamnhbobapjfhhhcjlfplabeofamp |
| Супер-темный режим для Edge | lkmeakjjodlkhbikbpdoeicfodaklkna |
| TikMate | jhahljcmjemimhchigiaigklabnpodgo |
| Приложение TikTok для Edge | celdediiemogjpfcjocdbildilkccepl |
| Программа для скачивания видео из TikTok без водяных знаков | flcgalphjnojjefjnnimnejbkkefbjgo |
| К QR-коду | cgjomicbgmoadggnjbdiafpjlodmafkp |
| Транскриптор | lplondnihmdhjokafldkcfnjclkhigpm |
| Специалист по переводу | jjdfciihihcpgfgmoonfpgglbgclpfai |
| Перевести выделенный текст с помощью Google | obocpangfamkffjllmcfnieeoacoheda |
| Перевести выделенный текст с помощью правой кнопки мыши | fmchencccolmmgjmaahfhpglemdcjfll |
| Надежный VPN Edge бесплатный VeePN | klmfgbnlbfgpdenpdddpdfigmnkmchil |
| Turbo Download Manager | bpjnmlookdfciblphehedlcbpmignahe |
| Пользовательские эмодзи для Twitch — FrankerFaceZ | johcbgkljdbebbloakcollpmigpigkpd |
| Программа для скачивания видео с YouTube | nphphgkcccnlmdiihcedabnhfacfmojk |
| Восстановить закрытые вкладки | amemnenomfejhfmfiheekmbcigfkolel |
| Разблокировать Youku | ajnjfpjimckjhfcpkaldennpdjglmeml |
| UseChatGPT.AI | hcmfdagipflbaagmcnhnhabkmjkopcke |
| Программа для скачивания видео и MP3 | oiolhdeinoaidggfcpebifcbedppbgog |
| Video Downloader Premium | jgphopeamnghlcekffldkpnbhmiadnbc |
| VPN | pdnjhppcgkdbjolbeplcabkcfmpnbjmh |
| Прогноз погоды | хецикоджипмфмаблнбхкнедадемофббпк |
| Снимок экрана веб-страницы для Edge | eblienbdkbgiigaebhmljbedkafiobkj |
| YouTube в текст | nfincgjfplibcdcncfkeehldffppnlnp |
| YouTube™ Adblock Plus | flmkfmdmcaepdaoedepihfkhmgopiago |
| Онлайн-блокировщик рекламы на YouTube | хмждегфгппдждммоджлофладжкелегнждп |
| Скачать с Youtube | dhnibdhcanplpdkcljgmfhbipehkgdkk |
| Конвертер видео с YouTube в MP4 | cfilkckedhoniijcpjfgihelgepflpni |
| ZLibrary Searcher | ffedaeoanbhgmanhhecfjodpopcjnhkc |
| Перевод одним нажатием | nepdfkaidpemglngbgpnmmhnleiekpin |
| Жесты мыши (Mouse Gestures) | cbopgngpbfeoecnbebghbbhmdadmllce |
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
