В материнской компании Google, Alphabet, заявили об удалении более 70 вредоносных расширений из интернет-магазина браузера Chrome. Заявление последовало за отчетом исследователей безопасности из компании Awake.
«Когда нас предупреждают о расширениях в интернет-магазине, нарушающих наши правила, мы предпринимаем действия и используем эти случаи в качестве учебного материала для улучшения наших автоматических и ручных проверок», — рассказал сотрудник Google Скотт Уэстовер агентству Reuters.
Большая часть бесплатных расширений предназначены для предупреждения пользователей Chrome о сомнительных сайтах или для преобразования файлов в другой формат. Но вместо этого расширения сливали историю просмотров и данные, доступ к которым предоставляли пользователи.
По словам соучредителя и главного научного сотрудника компании Awake, специализирующейся на кибербезопасности, Гэри Голомба, 70 вредоносных эддонов спровоцировали масштабнейшую кибератаку на Chrome за всю историю работы браузера. Их загрузили 32 миллиона раз.
При этом в Google не объяснили, насколько последняя кибератака превосходит предыдущие, какой объем ущерба был нанесен пользователям, и почему компания не удалила вредоносные расширения заранее, несмотря на обещания более тщательно контролировать их безопасность.
Также неизвестно, кто создал мошеннические расширения. В Awake рассказали, что разработчики эддонов предоставили ложную контактную информацию при их загрузке.
«Все, что попадет в чей-то браузер, электронную почту или в другие уязвимые места, станет целью для шпионов, а также для организованной преступности», — рассказал бывший инженер Агентства национальной безопасности США Бен Джонсон, основатель охранных компаний Carbon Black и Obsidian Security.
По словам Голомба из Awake, расширения разработали с целью спрятать вредоносное ПО от обнаружения антивирусами. Исследователи обнаружили, что при использовании браузера для веб-серфинга, он подключается к ряду сайтов и передает туда информацию, которую собирают расширения.
«Это показывает, как злоумышленники могут использовать чрезвычайно простые методы, чтобы скрыть, в этом случае, тысячи вредоносных доменов», — поделился Голомб. Более 15 тысяч сайтов, к которым подключались эддоны, были зарегистрированы у израильского регистратора Galcomm (CommuniGal Communication Ltd.). В Awake утверждают, что в Galcomm могли знать о сливе данных. При этом владелец Galcomm Моше Фогель отрицает вину регистратора.
«Galcomm не вовлечен и не замешан в какой-либо вредоносной деятельности, — утверждает Фогель. — Мы сотрудничаем с правоохранительными органами и органами безопасности, чтобы предотвратить как можно больше таких случаев».
По словам Фогеля, его компания не получила запросы от Awake. В ICANN (Internet Corp for Assigned Names and Numbers), интернет-корпорации, занимающейся присвоением имен и номеров и осуществляющей надзор за регистраторами, заявили, что за последние годы корпорация получила несущественное число жалоб на Galcomm и ни одной жалобы на вредоносное ПО.
Проблемы с фейковыми расширениями для Chrome существуют уже много лет, но со временем они становятся все хуже. Изначально они мешали только нежелательной рекламой, а теперь устанавливают вредоносные программы или отслеживают местонахождение пользователей.
В феврале 2020 года одно из мошеннических расширений похитило данные примерно 1,7 миллиона пользователей. Во время расследования Google выявила 500 таких эддонов.
По материалам Reuters
