Миллионы пользователей браузера Google Chrome регулярно устанавливают дополнения для персонализации внешнего вида. Особой популярностью пользуются расширения, меняющие фоновые изображения на вкладках. Именно эту нишу выбрали злоумышленники для новой масштабной кампании. Эксперты компании Palo Alto Networks из подразделения Unit 42 выявили более полусотни подобных дополнений, которые на деле оказались вредоносным рекламным ПО. Их суммарная аудитория превышает 30 тысяч установок, и лишь малая часть таких расширений была удалена из официального магазина Chrome.
Описание
Исследователи отследили три учётные записи разработчиков: Ovkas, Gameograf и Kidswallpapers/Owhit. Под каждым из этих имён публиковалось от нескольких до десятков расширений с обоями. Все они действуют по схожей схеме: после установки дополнение регистрирует обработчик события chrome.runtime.onInstalled, который без участия пользователя открывает в фоне веб-страницы с партнёрскими ссылками. Такой трафик приносит операторам доход за каждый просмотр или клик по рекламе. Более того, все расширения используют функцию chrome.runtime.setUninstallURL() - при удалении дополнения браузер отправляет запрос на сервер злоумышленников, позволяя им отслеживать отток пользователей и при необходимости перенацеливать рекламу.
Наибольшую опасность представляют расширения от Gameograf. Начиная с версии 4.1.0 они получили возможность удалять встроенную базу данных браузера IndexedDB. Речь идёт о специальном хранилище, которое веб-приложения используют для сохранения больших объёмов информации и работы в офлайн-режиме. Удаление IndexedDB без ведома пользователя приводит к потере данных многих сервисов, включая заметки, черновики и кешированные файлы. Кроме того, Gameograf внедряет на открываемые страницы произвольный HTML-код, в том числе всплывающие окна, без какой-либо проверки на безопасность. Такой приём позволяет подменять содержимое сайтов или вставлять фишинговые формы.
Распространяются эти расширения не только через магазин Chrome, но и через сторонние серые сайты: owhit[.]com, ovkas[.]com, chromewallpaper[.]com. Все эти ресурсы защищены системами от ботов, что затрудняет их автоматический анализ поисковыми системами и сканерами безопасности. В описаниях дополнений разработчики указывают политику конфиденциальности, однако она умалчивает о действиях, которые явно нарушают правила: принудительном редиректе на партнёрские ресурсы, отслеживании удаления, внедрении HTML-кода и уничтожении IndexedDB.
Специалисты Unit 42 в своём отчёте отмечают, что Ovkas и Gameograf почти наверняка управляются одним оператором. У них совпадает автор в манифесте расширения, одинаковые адреса для перенаправления и одна и та же партнёрская инфраструктура. Кодовая база обеих групп практически идентична. Kidswallpapers (также известный как Owhit) - вероятно, отдельный оператор, но он использует схожие шаблоны. Кроме того, в коде обнаружены признаки того, что расширения написаны с помощью языковых моделей искусственного интеллекта. Например, встречаются фрагменты, повторяющие текст подсказок, несуществующие вызовы функций (так называемые галлюцинации API) и следы многоэтапной генерации. Это указывает на автоматизированное создание вредоносного ПО, что позволяет злоумышленникам быстро выпускать новые варианты.
Последствия для пользователей выходят далеко за рамки назойливой рекламы. Удаление IndexedDB лишает доступа к данным множества веб-приложений, которые полагаются на это хранилище. Среди таких сервисов - офисные пакеты, редакторы изображений, платформы для заметок и даже некоторые игры. Восстановить информацию после удаления практически невозможно. Кроме того, фоновый редирект на партнёрские сайты не только раздражает, но и может вести на страницы с ещё более опасным контентом - например, с программами-вымогателями или поддельными обновлениями.
Рекламная индустрия также несёт потери. Описанная схема является классическим примером мошенничества с объявлениями (ad fraud). Трафик генерируется принудительно, без согласия пользователя, что обесценивает рекламные показы для добросовестных рекламодателей. Платформа Google, несмотря на заявленные механизмы проверки расширений, пока не смогла оперативно заблокировать все опасные дополнения: на момент публикации лишь несколько из более чем пятидесяти были удалены из магазина.
Что делать обычным пользователям? Прежде всего стоит проверить список установленных расширений и удалить всё, что имеет отношение к аккаунтам Ovkas, Gameograf или Kidswallpapers/Owhit. Также не следует загружать дополнения с сайтов, не являющихся официальным магазином Chrome. Если же расширение уже установлено, стоит очистить кеш IndexedDB через настройки браузера, чтобы избавиться от сохранённых вредоносных данных. Владельцам компаний и системным администраторам рекомендуется внести в политики корпоративных браузеров блокировку перечисленных издателей и доменов, а также настроить мониторинг на предмет подозрительного сетевого трафика, характерного для партнёрских редиректов.
Эта история - ещё одно напоминание о том, что даже простые на вид расширения могут скрывать сложную вредоносную логику. Мошенники постоянно совершенствуют методы обхода проверок, используют искусственный интеллект для генерации новых вариантов и маскируются под безобидные утилиты. Единственный надёжный способ защиты - осознанное отношение к тому, какие программы получают доступ к вашему браузеру, и регулярная проверка установленных дополнений на предмет подозрительного поведения.
Индикаторы компрометации
Domains
- chromewallpaper.com
- gameograf.com
- ovkas.com
- owhit.com
Sample Chrome Extensions
- abcidfelbbfbijdeilhlgmgejdbappaj
- adiolfenpimdeonhngpkbjbjjcopdfdp
- bbbbneobfdbkipmlgpapfjabfggogdij
- bbdejfjnpbdjbdnibpmiegbdfbngbahn
- bdnlfekadefohaaphlndnnieaolmpaao
- belplhjdnniinakggihimnikmhiijenk
- bfkaeaehpekfmfkbindbledlfcbammaa
- cdfjefamdaghbhmlddgnfneonpjbbehp
- cgopijlpehalkmakdjmhjonljokilban
- clddibaehbcaahnmhnjbnbkccbmghago
- cnlabipcnjebmibdelcindmhkkchndpd
- cpddjnopcpkpdhkhnimmgnniiglambdl
- dbfgidnodecgmmademfkaddkjidikobd
- dhllmgbdfgblbeckhcidmbcamonplgmg
- djlolemkfmghdipoalonefccpgjbfanc
- dligcnabijlnmgbamdiakeoencoomaef
- ecbkfpnhjofeoimpihdlbcjcedjdllin
- eeicldodfhmgcjedepfmmpdpibebgkbl
- ekgffgmnoaclljkicakkmobeoeeahmac
- enbiohidhjmepichhkjgbgppabjembml
- famoeaahdjkggighmjpagpjmcmbinkia
- fipehnelbojemafmdmhdkphjnafdnfle
- flomkgojkgpbholngecnpopgafijhenn
- fnfaggodhehejkigojefdehaffoneokd
- fnfhdeimoegdjjpnmlpfjpchpmndamii
- gejcmgekakacmlccopnlhanpipkfggcn
- gljmgepjbkfkcgepikciaeiihgfbfljf
- gpkgjopaiakcnokecmocecnbpghkkjhg
- hnhdhliichckphekkkgpopiicfdbcocc
- iagfghcakcckojogakhmdeebmkkjldfb
- iccidfcfcknibmadeplfehdinbeghbej
- ichbopbcihgldmgbgijfllfikfpeamlo
- imaibfagcdapbapmnepebaamfgjpdidk
- ippdfgpdnmndlebdgggkgpapaffdcabp
- jbaghkaihalnmkknemcgjikkimiecgpn
- jeoonjgjpiepmdcmgcdnadamojoefbad
- jneelgnlhodkmclkcnooopnfmamckbgf
- jnnkcihkpoljaejgnmaohgbodpdmfmdg
- kjdbfkbkiepbabfjncinoeclenkcgbmf
- kjhnajdlflnfmfdghcckbngdchajaime
- klgebnlgcgpinhblnheofececjjaaofd
- kocbandikoadlapjnhpgbimaoncpnkpi
- laombeiddkmdfbnfobjgebnfaedefidp
- lappfnpdgnphiodelgopbncadpoldica
- liimhladbmdgppodfomkkcppkfbkmjbm
- ljpapggfdnpbagfbfnlolopaiknkbbmb
- mefpdeoonpdjecmnekooffdonpllblnb
- mifhdbomjebcedjhoclccddgmmjhpkne
- mjoehhmchapliffjeiopgilfhmphfpbp
- mjojolnflneijogfbcoficpkmldhamba
- mmlpmfnhfgjpogjjleoklkfeipnnojgd
- mphkmheooambmkecalfljbkchadlfhap
- nbmkfpfhpmajmnkihgkmbgbnalncdnna
- ndeeopioahgjcemhhbgdoednmaleeemp
- nfpdlagnobaebggdhbflhiobfhondmdb
- ngnfdhfeccjahkpielcjbjebipckhoii
- nipbcfdkdiccemcmnfeebgmlnejmhbpd
- njggjookikiachbndaocbijjpddcijkf
- obdcmkbifgehdkjacmndbapoiiabnjlo
- oeaifghbbhjomcgbgpihadpbfnpidggi
- ooepolkedgpkhojiihdjoajnjohciajl
- oojlpfnmoijaiephcdakeggdbbfdbanb
- opdcfknedcfgiophhnojmnljpndojbom
- phcfjgnhnpfjhpghiacilpocpcdcgljm
- phpjgmopmomaokbddkjpnnffmchbnagh
- pkadlokfbobblmiclilbgajkjcpaaopk
- pkmjadcejhbaahnlaooacmfkfflpkcic
- pnlahghdcgkecfkeeiekinacgmbdcabk
