Facebook опять отличился

7 расширений для хрома стали основой вредоносного ПО, получившего название Nigelthorn. Распространение шло через  популярную сеть Facebook, где пользователи после перехода по ссылке попадали на фейковую страницу небезызвестного хостинга YouTube. Для дальнейшего просмотра роликов необходимо было загрузить «испорченное» расширение для браузера.

Хакеры интенсивно осуществляли рассылку для наибольшего охвата аудитории, активно создавая персональные сообщения или отмечая интернет-пользователей в своих публикациях. Чтобы обойти проверку безопасности от Google, злоумышленники использовали обфускацию, запутывая исходный код. После того как вредоносная программа поселилась в компьютере, Nigelthorn давал сигнал командному серверу и подсоединял атакованное устройство к ботнету.

Расширение перехватывало логин и пароль пользователя Facebook, становясь полноправным хозяином на его личной странице в соцсети. Вредоносный скрипт не давал владельцу аккаунта совершать стандартные действия: редактировать профиль, удалять записи, писать комментарии. Nigelthorn хорошо обеспечил собственную защиту путем ограничения доступа к вкладке плагинов и блокировки утилит для очистки хрома.

А что дальше

После первоначального вредительства продолжалось использование персональных компьютеров пользователей. На устройство загружался специальный JavaScript, который загружал сервис для майнинга виртуальных денег. Злоумышленники использовали чужие устройства, чтобы добывать монеты вида Bytecoin, Monero и Electroneum.

Большинство пострадавших от мошеннических действий оказались сосредоточены в трех странах - Эквадоре, Венесуэле и на Филиппинах. Помимо созданного вредоносного плагина, хакеры использовали и другие расширения. Система безопасности поисковика Google нашли самостоятельно еще 4 вредоносных кода и оперативно их удалила.

По некоторым сведениям, такие атаки начались еще в марте. Кибермошенники внедряли свои скрипты в копии разрешенных расширений, поэтому у них получалось избежать стандартных проверок безопасности гугл. Также сообщается, что жертвами подобных действий стала сеть компьютеров одной крупной корпорации, название которой не разглашается.

Постоянная оборона

Вредоносные плагины и хакерские коды с завидным постоянством портят нервы и становятся источником неприятностей для Google. Не так давно мировой поисковик избавился от нескольких блокировщиков рекламы в официальной магазине, которые собирали данные о действиях пользователей. По некоторым подсчетам, расширения–шпионы были загружены на персональные устройства почти 20 млн. раз.

Еще ранее мировая корпорация не разрешала размещать в своем браузере специальные утилиты для добычи электронной валюты. Многие плагины  скрывали майнинг криптовалюты, применяя технические инструменты пользователя без его согласия.