Co najmniej trzy miliony użytkowników zainstalowało jedno lub kilka z 28 złośliwych rozszerzeń do Chrome lub Edge’a.

Rozszerzenia mogą przekierowywać ruch użytkowników do reklam, stron phishingowych, zbierać dane użytkowników lub pobierać złośliwe oprogramowanie na zainfekowane systemy.

Według analityków Avast ponad trzy miliony internautów zainstalowało 15 rozszerzeń Chrome i 13 Edge’a, które zawierają złośliwy kod, powiedziała dzisiaj firma Avast.

28 rozszerzeń zawierało kod, który mógł wykonać kilka „wymuszonych” operacji. Avast powiedział, że znalazł kod do:

• przekierowania ruchu użytkowników do reklam
• przekierowania ruchu użytkowników na strony phishingowe
• gromadzenia danych osobowych, takich jak daty urodzenia, adresy e-mail i aktywne urządzenia
• gromadzenia historii przeglądania
• pobierania kolejnego złośliwego oprogramowania na urządzenie użytkownika

Jednak pomimo obecności kodu służącego do obsługi wszystkich powyższych złośliwych funkcji, analitycy Avast stwierdzili, że ich zdaniem głównym celem tej kampanii było przejęcie ruchu użytkowników dla uzyskania korzyści finansowych.

„Za każde przekierowanie do domeny strony trzeciej cyberprzestępcy otrzymywaliby zapłatę”, stwierdza Avast.

Avast oświadczył, że odkrył rozszerzenia w zeszłym miesiącu i znalazł dowody na to, że część z nich była aktywna co najmniej od grudnia 2018 roku, kiedy to niektórzy użytkownicy po raz pierwszy zaczęli zgłaszać problemy z przekierowaniem do innych witryn.

Jan Rubín, analityk Malware w Avast, powiedział, że nie mogli zidentyfikować, czy rozszerzenia były tworzone za pomocą złośliwego kodu od początku, czy też kod był dodawany poprzez aktualizację, gdy każde z rozszerzeń przekroczyło pewien poziom popularności.

Wiele rozszerzeń okazało się bardzo popularnych, z dziesiątkami tysięcy instalacji. Zdecydowana większość z nich udawała dodatki, które miały pomóc użytkownikom w pobieraniu treści multimedialnych z różnych serwisów społecznościowych, takich jak Facebook, Instagram, Vimeo czy Spotify.

Avast powiedział, że zgłosił swoje ustalenia zarówno do Google i Microsoft i że obie firmy nadal analizują problem.

Poniżej znajduje się lista rozszerzeń Chrome, co do których Avast stwierdził, że zawierają złośliwy kod:

• Direct Message for Instagram
• DM for Instagram
• Invisible mode for Instagram Direct Message
• Downloader for Instagram
• App Phone for Instagram
• Stories for Instagram
• Universal Video Downloader
• Video Downloader for FaceBook™
• Vimeo™ Video Downloader
• Zoomer for Instagram and FaceBook
• VK UnBlock. Works fast.
• Odnoklassniki UnBlock. Works quickly.
• Upload photo to Instagram™
• Spotify Music Downloader
• The New York Times News

Lista rozszerzeń Edge’a, które według Avasta zawierają złośliwy kod:

• Direct Message for Instagram™
• Instagram Download Video & Image
• App Phone for Instagram
• Universal Video Downloader
• Video Downloader for FaceBook™
• Vimeo™ Video Downloader
• Volume Controller
• Stories for Instagram
• Upload photo to Instagram™
• Pretty Kitty, The Cat Pet
• Video Downloader for YouTube
• SoundCloud Music Downloader
• Instagram App with Direct Message DM

Dopóki Google lub Microsoft nie ustosunkują się do problemu, Avast zaleca użytkownikom odinstalowanie i usunięcie powyższych rozszerzeń z ich przeglądarek.