Znaleziono pięć zwodniczych rozszerzeń przeglądarki Google Chrome, które podszywają się pod przeglądarki Netflix i inne, aby śledzić aktywność przeglądania użytkowników i czerpać zyski z programów partnerskich dla sprzedawców detalicznych.
„Rozszerzenia oferują różne funkcje, takie jak Przykłady obejmują wspólne oglądanie programów Netflix, kupony witryn internetowych i robienie zrzutów ekranu witryny” – według badaczy McAfee, Olivera Devane i Vallabha Chole powiedział. „Ten ostatni pożycza kilka fraz z innego popularnego rozszerzenia o nazwie GoFullPage”.
Wspomniane dodatki do przeglądarki – dostępne w Chrome Web Store i pobrane 1,4 miliona razy – to:
- Netflix Party (mmnbenehknklpbendgmgnggeaignppnbe) – 800 000 pobrań
- Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 pobrań
- FlipShope — rozszerzenie do śledzenia cen (adikhbfjdbjkhelbdnffogkobkekkkej) — 80 000 pobrań
- Przechwytywanie pełnego ekranu strony — zrzuty ekranu (pojgkmkfincpdkdgjepkmdekcahmckjp) — 200 000 pobrań
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) — 20 000 pobrań
Rozszerzenia mają na celu załadowanie fragmentu JavaScript odpowiedzialnego za śledzenie odwiedzanych stron internetowych i wstrzyknięcie złośliwego kodu do portali handlu elektronicznego, umożliwiając atakującym zarabianie pieniędzy na zakupach dokonywanych przez ofiary za pośrednictwem programów partnerskich.
„Każda odwiedzana strona internetowa jest wysyłana na serwery należące do twórcy rozszerzenia” – zauważyli badacze. „Robią to, aby wstrzykiwać kod do odwiedzanych witryn e-commerce. Ta akcja modyfikuje pliki cookie w witrynie, aby autorzy rozszerzeń otrzymywali płatność stowarzyszoną za wszystkie zakupione przedmioty”.
W złośliwe oprogramowanie wbudowana jest również technika, która opóźnia złośliwą aktywność o 15 dni od momentu zainstalowania rozszerzenia, aby utrzymać odpowiedni poziom aktywności i uniknąć wyzwalania alertów.
Wyniki następują po odkryciu 13 rozszerzeń przeglądarki Chrome w marcu 2022 r. przyłapany na przekierowywaniu użytkowników na strony phishingowe i eksfiltrowaniu poufnych informacji w Stanach Zjednoczonych, Europie i Indiach.
Od środy wszystkie pięć dodatków zostało usuniętych z Chrome Web Store. Zaleca się jednak, aby użytkownicy zainstalowanych rozszerzeń ręcznie usunęli je z przeglądarki Chrome, aby zmniejszyć dalsze ryzyko.
