Google Chrome расширение McAfee cookie
Расширения были обнаружены специалистами из McAfee.
Аналитики из McAfee
обнаружили
пять расширений Google Chrome, которые незаметно отслеживают активность пользователей в браузере. В совокупности эти расширения были загружены более 1,4 миллиона раз.
Эти вредоносные расширения подделывают Файл cookie — это информация, которую веб-сайт размещает на компьютере пользователя. Файлы cookie хранят ограниченную информацию о сеансе веб-браузера на данном веб-сайте, которую затем можно получить и использовать в будущем.»
data-html=»true» data-original-title=»Cookie»
>cookie-файлы, если жертва посещает онлайн-маркетплейсы, чтобы казалось, будто пользователь перешел по реферальной ссылке. За такие “переходы” авторы вредоносных расширений получают вознаграждение.
В McAfee перечислили все пять вредоносных аддонов, указав также их идентификаторы:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 загрузок;
Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 загрузок
Full Page Screenshot Capture (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 загрузок;
FlipShope (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 загрузок;
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 загрузок.
.png)
Четыре вредоносных аддона в магазине расширений Chrome.
Стоит отметить, что вышеуказанные расширения исправно выполняют свои задачи, что мешает обнаружить вредоносную активность.
Согласно отчету McAfee, все пять расширений имеют общий принцип работы: манифест веб-приложения (файл «manifest.json»), диктует поведение расширения в системе, затем загружает многофункциональный скрипт (B0.js), который отправляет данные активности пользователя в браузере на домен, контролируемый злоумышленниками («langhort[.]com»).
Каждый раз, когда пользователь посещает новый URL, информация отправляется злоумышленнику в виде POST-запросов. Отправляемые сведения включают в себя URL в формате base64, идентификатор пользователя, геолокацию устройства (страна, город, почтовый индекс) и закодированный реферальный URL.
.png)
Функция, с помощью которой злоумышленник получает данные пользователя.
Файл B0.js модифицирует или подменяет cookie-файлы. Специалисты McAfee также опубликовали видеоролик, демонстрирующий процесс модификации URL и cookie-файлов в режиме реального времени:
Чтобы избежать обнаружения и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять пользовательские данные на сервер разработчиков.
.png)
Задержка в 15 дней перед отправкой данных.
Стоит отметить, что Netflix Party и Netflix Party 2 были удалены из магазина расширений, но не из браузеров пользователей, поэтому их придется удалить вручную.