|
 Компанията за информационна сигурност и интернет защита Trend Micro разкриха нови атаки към потребителите на Google Chrome. Става дума за зловредна програма, интегрирана в множество разширения за браузъра, която инфектира системите, организирайки ги в ботнет мрежа. Програмата пренасочвала жертвите към нежелана и зловредна реклама, за кражба на данни и копаене на криптовалута. Основният вектор на разпространение е бил чрез малвъртайзинг атаки (доставяне на зловредна реклама). Когато потребителите попадали на страница или реклама, изготвена от престъпниците, те били подканяни да свалят приставка за браузъра. Бдителността на жертвата била приспивана от това, че кликайки върху съобщението те били отвеждани към реалния магазин на Chrome. Името на заплахата, която дават Trend Micro на програмата е Droidclub. Те са я открили в 89 разширения в Chrome Web Store, уведомили са Google и разширенията са били премахнати. Освен това са се свързали с Cloudflare за деактвиране на командната инфраструктура на престъпната мрежа. По изчисления на компанията, засегнатите потребители са над 400 000 – 423 992. Авторите на атаките компрометирали легитимни session replay библиотеки, инжектирали код в страниците, които потребителя посещава и записвали данните, които той вписва в тях. Понастоящем зловредната дейност на програмата се заключава основно около пренасочването на браузъра към реклами, което осигурява доход на престъпниците. Заедно с това, друга версия влага код, свързващ се към Coinhive за добив на Monero. Droidclub не е лесна за премахване заплаха. Ако жертвата реши да докладва разширението на Google, тя бива отвеждана просто към страницата му в Chrome Web Store, а ако се опита да я деинсталира от браузъра, се отваря страница, която имитира прозореца с разширения за браузъра му, подлъгвайки го, че е успял да я премахне. |
|
