500 rozszerzeń do Chrome potajemnie przesyłało prywatne dane użytkowników [lista]

Według analityków, którzy w czwartek ujawnili swój raport, ponad 500 rozszerzeń przeglądarki Chrome potajemnie przesyłało prywatne dane przeglądania na serwery kontrolowane przez osoby atakujące. Chodzi o miliony pobrać ze sklepu Google Chrome Web Store.

Cała akcja wydaje się dobrze zorganizowana, bo jest częścią działającej od wielu miesięcy grupy, która rozsiewała fałszywe reklamy i zainfekowane pliki. Sprawę odkryła analityczka Jamila Kaya. Razem z ekipą z firmy Duo Security, która należy do Cisco, zidentyfikowali 71 rozszerzeń Chrome, które miały na swoim koncie ponad 1,7 miliona aktywnych instalacji.

Analitycy niezwłocznie zgłosili odkrycie do Google, a firma znalazła kolejne 430 niebezpiecznych rozszerzeń. Od tamtej pory wszystkie te rozszerzenia zostały usunięte. We wspomnianym raporcie możemy przeczytać:

„W opisanym przypadku twórcy rozszerzeń Chrome specjalnie opracowali takie rozszerzenia, które przykrywały podstawową funkcję. Dokonano tego, aby połączyć klientów z osobą dokonującą ataku, wyciągano prywatne dane przeglądania bez wiedzy użytkownika, narażano go na wykorzystanie jego danych, jednocześnie unikając zabezpieczeń sklepu Chrome Web Store”.

Pętle przekierowań od razu były podejrzane

Większość z zainfekowanych rozszerzeń była reklamowana jako narzędzia promocyjne i inne tego tupu usługi. Faktycznie jednak zaangażowane były w oszustwa (głównie reklamowe) wywołujące pętle przekierowań. Wtyczka łączyła się z domeną macierzystą (o takiej samej nazwie jak rozszerzenie), następnie następowało przekierowanie przeglądarki na jeden z kilku serwerów, aby wywołać dodatkowe skrypty. Dalej przesyłano dane prywatne.

Wiele z reklam prowadziło na szczęście do łagodnych reklam takich jak Macy, Dell czy Best Buy. Były też reklamy bardziej złośliwe. Instalowane było złośliwe oprogramowanie, m.in.:

• ARCADEYUMGAMES.exe – otrzymywało dostęp do wrażliwych informacji w przeglądarce
• MapsTrek.exe – miał dostęp do schowka użytkownika

Kampania działała podobno od początku roku 2019. Dość szybko się rozwinęła i zainfekowała sporo urządzeń. Analitycy sugerują rozpoczęcie tej działalności nawet w roku 2017. Każda z tych 500 wtyczek wydawała się inna, ale każda z nich zawierała niemalże identyczny kod źródłowy.

Poniżej lista rozszerzeń ujawnionych przez Jamilę Kaya (jak pojawi się pełna, na pewno ją zaktualizujemy):

1. PackageTrak Promos
2. ProMediaConverter Promotions
3. EasyToolOnline Promos
4. CrushArcade Ads
5. GreatArcadeHits Ads
6. ArcadeFrontier Ads
7. MapsFrontier Advertising
8. SuperSimpleTools Promos
9. Advertisements by ArcadeYum
10. PackTrackPlus Promos
11. EasyToolOnline Promos
12. PlayPopGames Ads
13. QuickNewsPlus Promos
14. GameZooks Advertisements
15. PackTrackPlus Promotions
16. PackTrackPlus Promotions
17. MapsFrontier Advertisement Offers
18. ExpressDirections Promos
19. MapsTrek Promos
20. ClassifiedsNearMe Promos
21. MapsTrek Promos
22. ClassifiedsNearMe Promos
23. ExpressDirections Promos
24. MapsTrek Offers
25. MapsVoyage Promotions
26. FreeWeatherApp Promotions
27. EarthViewDirections Promotions
28. MapsFrontier Advertisements
29. ArcadeCookie Offers
30. RecipeAlly Promos
31. MapsTrek Promotions
32. Offers by MapsFrontier
33. GamesChill Ads
34. PackTrackPlus Promotions
35. MapsVoyage Ads
36. Advertising by MapsFrontier
37. PlayZiz Advertisements
38. Advertising Offers by MapsVoyage
39. MapsFrontier Advertising Offers
40. FreeWeatherApp Promos
41. FreeWeatherApp Advertisement Offers
42. ExpressDirections Ads
43. YoYoQuiz Promotions
44. MapsVoyage Advertising
45. MapsPilot Ad Offers
46. GoFreeRadio Promos
47. Advertising Offers by FreeWeatherApp
48. Advertisement Offers by QuizKicks
49. Ads by MapsVoyage
50. JumboQuiz Advertising
51. MapsScout Advertising Offers
52. DeluxeQuiz Advertising
53. SuperSimpleTools Promos
54. Advertising by MapsPilot
55. Advertisements by MapsScout
56. PackageTrak Promos
57. Ad offers by Froovr
58. PackageTrak Promos
59. GameDaddio Marketing
60. DearQuiz Advertising
61. Offers by MapsScout
62. YoYoQuiz Advertisements
63. Advertisment Offers by GameDaddio
64. QuizFlavor Advertising
65. Advertisements by QuizDiamond
66. QuizPremium Advertisements
67. CouponRockstar Offers
68. MapsFrontier Promos
69. Advertising Offers by MapsPilot
70. PlayThunder Offers
71. LoveTestPro Ad Offers