Кампания SearchJack: 23 вредоносных расширения Chrome перенаправляют поиски 758 тысяч пользователей

Кампания была выявлена специалистами по безопасности при помощи автоматического сканера MalExt Sentry. Этот инструмент непрерывно отслеживает магазины расширений браузеров. Система ищет подозрительные элементы по ключевым словам в описаниях и метаданных. В случае SearchJack сканер обнаружил расширения, которые злоупотребляют ключом chrome_settings_overrides в файле манифеста. Именно этот параметр позволяет перехватывать настройки поиска пользователя без его ведома.

Всего под удар попало около 758 тысяч человек. Расширения выпустили 22 разных издателя. При этом инфраструктура монетизации опирается как минимум на восемь различных брокеров. Брокер - это посредник, который получает комиссию от поисковых систем за перенаправленный трафик. В данном случае все запросы в конечном счёте уходят в партнёрскую сеть Yahoo Hosted Search. Каждое расширение использует уникальный идентификатор hspart в URL перенаправления, который указывает на конкретного брокера. Крупнейшим из них является System1 (публичная компания, шесть расширений, около 117 тысяч установок). Ещё три модуля от неизвестного брокера trp набрали примерно 160 тысяч установок.

Отчёт MalExt Sentry показывает, что большинство расширений представляют собой "пустые оболочки" - в них нет фоновых скриптов или запрошенных разрешений. Единственная их функция - изменить поисковую систему по умолчанию. Эта тактика позволяет избежать проверок магазина Chrome, так как код минимален. Другая часть модулей, напротив, содержит частично работающий интерфейс: например, приложение для просмотра спутниковых карт или инструмент поиска маршрутов. Эта "троянская" стратегия нужна, чтобы убедить пользователя установить расширение, хотя настоящая ценность для операторов - перехват трафика.

Особого внимания заслуживают три расширения, в которых обнаружены наиболее яркие признаки обмана. Первое - Nautilus Search (50 тысяч установок). Его описание в магазине содержит ложное заверение: "Мы не отслеживаем ваши поиски, не собираем личную информацию и не храним данные". Однако политика конфиденциальности, опубликованная компанией Kinner Lake Ltd., прямо говорит о сборе IP-адресов, поисковых запросов и технических идентификаторов. Такое прямое противоречие может быть основанием для претензий по законодательству о защите данных (GDPR в Европе и FTC в США).

Второе расширение - Search Toggler (10 тысяч установок). Оно единственное из всей кампании предлагает переключатель между разными поисковыми системами. Однако настоящий подвох скрыт в коде: независимо от выбора пользователя все запросы всё равно направляются через сервер searchtoggler[.]com/ext/search. Логика перенаправления внедряется в среду выполнения браузера с помощью API chrome.declarativeNetRequest.updateDynamicRules(). В статическом файле расширения этого правила нет - оно активируется только после запуска. Таким образом, стандартный анализ кода до публикации не может обнаружить мошенническое поведение. Кроме того, расширение связано с тремя разными юридическими лицами: доменом, политикой конфиденциальности VPP Technologies LLC и контактным адресом worthathousandwords[.]com.

Третье примечательное расширение - Fusebase Search (490 установок). Его издателем значится Nimbus Web Inc - добросовестная компания, известная продуктами FuseBase и Nimbus Screenshot. Однако соотношение отзывов и установок ненормально: 609 отзывов против 490 текущих установок. Такая пропорция (1,24) недостижима органическим путём. Возможно, раньше расширение имело гораздо больше пользователей, либо отзывы были накручены, либо счётчик установок обнулился после нарушения правил магазина. В любом случае требуется прямая проверка у Nimbus Web Inc - не потеряло ли оно контроль над своим модулем.

Кампания SearchJack чётко демонстрирует структурированную бизнес-модель. Издатели создают одноразовые расширения, а брокеры предоставляют партнёрские счета Yahoo и инфраструктуру. Даже если Google удалит несколько модулей, схема продолжит работать - достаточно выпустить новые под другими названиями. Брокерский слой остаётся невидимым для пользователя: единственное указание на оператора - параметр hspart в URL, который обычный человек никогда не увидит. Например, расширения, связанные с брокером System1, используют общие шаблоны путей вроде /admin/public/link на доменах earth3d.net, earthapp.net и loginonlineapp.com. Это указывает на единую серверную инфраструктуру.

Чем такая атака опасна для обычного человека? Каждый поисковый запрос уходит к анонимным третьим сторонам. Это грубое нарушение приватности. Но главное - операторы могут в любой момент изменить фильтрацию трафика на своей стороне. Вместо обычных результатов поиска пользователю могут показывать фишинговые страницы или ссылки на загрузку вредоносных программ. Для этого не придётся обновлять само расширение - всё управляется на сервере брокера. Именно поэтому удаление отдельных модулей из магазина не решает проблему. Действенные меры должны быть направлены на брокеров и партнёрские программы, которые позволяют анонимным операторам монетизировать чужой поисковый трафик в таком масштабе.

Domains

• arth3d.net
• earthapp.net
• loginonlineapp.com

URLs

• https://bestfreemaps.com/search-direction.php?q={searchTerms}
• https://bestfreemaps.com/search-earth-de.php?q={searchTerms}
• https://earth3d.net/admin/public/link?q={searchTerms}
• https://earthapp.net/admin/public/link?q={searchTerms}
• https://freshfruittab.com/search?q={searchTerms}
• https://greatstartapp.com/serp.php?v=1.0.1&id=mccmkaicbneobeclkbloeoopcfeipmio&q={searchTerms}
• https://loginonlineapp.com/admin/public/link?q={searchTerms}
• https://myfocalfind.com/search?q={searchTerms}
• https://myperfecttab.com/search/?q={searchTerms}
• https://myvideolibrary.info/search.php?q={searchTerms}
• https://nautilus-notes.com/search?q={searchTerms}
• https://newtab.club/search?q={searchTerms}
• https://oasrchrdr.com?dgd=RD1005461&PCSF=true&q={searchTerms}
• https://query.quicksearchtool.com/s?query={searchTerms}
• https://s.fusebase-search.com/search?q={searchTerms}
• https://search.freshysearch-api.net/search/{searchTerms}
• https://search.getbettersearch-api.com/search/{searchTerms}
• https://searchanything.co/search.html?q={searchTerms}&acTypeId=1
• https://searchtoggler.com/ext/search?src=default&q={searchTerms}
• https://seek.searchthatweb.com?PCSF=true&q={searchTerms}
• https://services.templatesearch-svc.org/search/{searchTerms}
• https://viewmenuprices.com/auto-suggest/search.php?q={searchTerms}
• https://wanderlustar.com/k?source=7023.139&kw={searchTerms}

Extensions

• akimdaijebpdfojiohhimbebkdigkccj SearchThatWeb
• bgliakflmjnofiolfmnbncdmgfnibgnj Wanderlustar
• cnkcgoiimpncbonlilkekbigfhchcbgb Template Search
• cpmjnpalighpdecgankobogpcmbceaig Easy Login
• dllhnjhfilgcjopkgdekmdmfilpfceig Surfer Search
• eeejfmalgedffijdepcdmgemfnadjefe My Focal Find
• efakcomgmimcekdejnoafmmbgnpdhdfm Video Search Extension
• epdmngmgidehpmhjamdjcaecpligmcfh Better Search
• flcaigefphghbcgbmfngbfdgipdflfpn Nautilus Search
• gmapdckphdmbafmmcfoahhgoogdjeell Get Maps & Driving Directions
• hnfdneofpohlkoeljnmkdocokcdkjiaa Earth
• hodgcolihbmeagfcfpdfpnapfflmpbkb Search Toggler
• hohedjmdoemgcpgdapepfhnilbedldnm PerfecTab Search
• ijbmkpeacbkgpfkomjbionjgdhbmlpfp View Menu with Prices
• jeookppofphgjnhjkifeejcmjbpiogka Fresh Fruit Search
• jgoihmjphghpnjedflgemmhjdaogimad Satelliten Earth
• kbobdmmjbaljcombpliahadgoafgohcd Earth 3D
• keadechokmcohlcampccppbjjeabghcd Quick Search Tool
• mccmkaicbneobeclkbloeoopcfeipmio Great Start
• odafhekandnacimkenmaagnoemnpaakk Search Anything
• ododhdcefemfdbnidbeipjpjaehadjen Fusebase Search
• oikgbpcmdphfkhplgkfngjilemlolann Freshy Search
• pookachmhghnpgjhebhilcidgdphdlhi NewTab. Search