Несколько месяцев назад в блоге MacAfee было рассказано о вредоносных расширениях, перенаправляющих пользователей на фишинговые сайты и вставляющих идентификаторы партнеров в файлы cookie сайтов электронной коммерции. С тех пор MacAfee исследовала еще несколько вредоносных расширений и обнаружила 5 расширений с общей базой установок более 1 400 000.
Расширения предлагают различные функции, такие как возможность совместного просмотра сериалов Netflix, купоны сайта и создание скриншотов сайта. Последняя функция заимствует несколько фраз из другого популярного расширения под названием GoFullPage.
Кроме того, что расширения предоставляют необходимые функции, они также отслеживают активность пользователя при просмотре сайтов. Информация о каждом посещенном сайте отправляется на серверы, принадлежащие создателю расширения. Это делается для того, чтобы они могли вставить код в посещаемые сайты электронной коммерции. Это действие изменяет файлы cookie на сайте таким образом, чтобы авторы расширения получали партнерские платежи за любые приобретенные товары.
Пользователи расширений не знают об этой функциональности и о риске конфиденциальности, связанном с тем, что данные с каждого посещаемого сайта отправляются на серверы авторов расширений.
Разрешения будут показаны Chrome перед установкой расширения. Пользователям следует предпринять дополнительные шаги для проверки подлинности, если расширение запрашивает разрешения, позволяющие ему работать на каждом посещаемом сайте.
Indicators of Compromise
Domains
- autobuyapp.com
- flipshope.com
- goscreenshotting.com
- langhort.com
- netflixpartyplus.com
- Unscart.in
- www.netflixparty1.com
URLs
- http://d.langhort.com/chrome/TrackData/