Opasnost u vašem veb pregledaču: Naizgled bezazlene ekstenzije kriju malvere

Od januara 2020. do juna 2022. više od 4,3 miliona jedinstvenih korisnika napadnuto je reklamnim softverom (adware) koji se krije u ekstenzijama pretraživača, što je otprilike 70% svih korisnika pogođenih zlonamernim i neželjenim dodacima [za pregledače], saopštila Kaspersky nedavno.

Čak 1.311.557 korisnika pokušalo je da instalira ovakve dodatke u prvoj polovini 2022. godine, otkrili su telemetrijski podaci. Poređenja radi, broj takvih korisnika dostigao je vrhunac u 2020. (3.660.236), da bi 20201. godine taj broj bio upola manji (1.823.263).

Najčešća pretnja je adware pod nazivom WebSearch, koji se maskira u PDF pregledače i druge uslužne programe. WebSearch prikuplja i analizira upite za pretragu i preusmerava korisnike na partnerske sajtove.

WebSearch je takođe poznat po modifikaciji početne stranice veb pregledača, koja sadrži pretraživač i brojne linkove do sajtova kao što je AliExpress koji, kada žrtva klikne na njih, pomažu programerima ekstenzija da zarade novac preko partnerskih linkova.

"Takođe, ekstenzija modifikuje podrazumevani pretraživač pregledača u search.myway[.]com, koji može da uhvati upite korisnika, prikupi i analizira ih", navodi Kaspersky. "U zavisnosti od toga šta je korisnik tražio, najrelevantniji partnerski sajtovi će biti aktivno promovisani u rezultatima pretrage."

Druga česta pretnja pod nazivom AddScript prikriva zlonamernu funkcionalnost pod maskom programa za preuzimanje video snimaka. Iako ekstenzije u kojima se krije AddScript rade ono što se od njih očekuje, one takođe kontaktiraju server da bi preuzeli JavaScript kod.

Više od milion korisnika susrelo se sa reklamnim softverom samo u prvoj polovini 2022. godine, pri čemu su WebSearch i AddScript došli so 876.924 i 156.698 jedinstvenih korisnika.

U ekstenzijama je pronađen i malver za krađu informacija FB Stealer, koji krade akreditive za prijavljivanje na Facebook i kolačiće sesije prijavljenih korisnika. FB Stealer je odgovoran za 3.077 jedinstvenih pokušaja infekcije u prvoj polovini 2022.

Malver prvenstveno cilja korisnike koji su u potrazi za krekovanim softverom na pretraživačima, a FB Stealer se isporučuje preko trojanca pod nazivom NullMixer, koji se širi kroz instalatere za krekovani softver kao što je SolarWinds Broadband Engineers Edition.

"FB Stealer instalira malver, a ne korisnik", rekli su istraživači. "Kada se doda u pregledač, oponaša bezopasnu ekstenziju za Chrome Google Translate standardnog izgleda."

Motiv ovih napada je takođe zarada. Distributeri malvera, nakon što dobiju kolačiće za autentifikaciju, prijavljuju se na Facebook nalog cilja i otimaju ga promenom lozinke, blokirajući žrtvu. Napadači tada mogu da zloupotrebe pristup nalogu i traže novac od žrtvinih prijatelja, prenosi informacija.rs.

Pre mesec dana istraživači Zimperiuma upozorili su na malver pod nazivom ABCsoup koji se maskira kao ekstenzija za Google Translate. U tom trenuku ovaj malver je distribuiran u sklopu reklamne kampanje koja cilja ruske korisnike pretraživača Google Chrome, Opera i Mozilla Firefox.

Da bi se veb pregledač zaštitio od infekcija, korisnicima se preporučuje da se drže pouzdanih izvora za preuzimanje softvera, pregledaju dozvole za ekstenzije i povremeno pregledaju i deinstaliraju dodatke koje "više ne koriste ili koje ne prepoznaju".

(Telegraf.rs)