Перейти к содержанию

Троян маскируется под расширение для Google Chrome

Евгений Малинин

От Евгений Малинин
в Новости и события со всего мира

 Share

Рекомендуемые сообщения

Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано

Вирусные аналитики компании BitDefender предупреждают пользователей Google Chrome о появлении троянской программы, распространяемой злоумышленниками под видом расширения для набирающего популярность интернет-обозревателя.

 

По сведениям специалистов, распространяется вредоносный файл по электронной почте. Пользователь получает письмо, рекламирующее новое расширение для браузера, возможности которого якобы обеспечивают прямой доступ к вложенным в e-mail документам. В письме содержатся выглядящая безопасной ссылка и рекомендации по скачиванию и установке плагина. Перейдя по ссылке, пользователь попадает на веб-страницу злоумышленников, замаскированную под каталог расширений Google Chrome, где вместо обещанного расширения скачивает вредоносное приложение, заражающее компьютер.

 

Троян, определяемый BitDefender как Trojan.Agent.20577, имеет то же описание, что и легитимный файл, однако пользователя должно насторожить файловое расширение – откровенное ".exe" вместо ".crx", как должно быть у Google Chrome. Вредоносный файл модифицирует системный файл HOSTS и закрывает доступ к поисковикам Google и Yahoo. Каждый раз, набирая в браузере адреса данных ресурсов, пользователь попадает не на желаемые сайты, а на их поддельные копии, посредством которых происходит дальнейшее заражение незащищенного компьютера более серьезными вирусами.

 

Вирусные аналитики BitDefender рекомендуют пользователям браузера Google Chrome быть предельно внимательными при работе с электронной почтой и установке новых расширений для веб-обозревателя.

 

© http://www.3dnews.ru/software-news/troyan_..._google_chrome/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Краб
      Google Chrome
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • pudge_djadj
      Майнер маскируется под explorer.exe
      От pudge_djadj
      Здравствуйте, форумчане, у меня случилась пренеприятная ситуация, схватил майнер, маскируется под проводник, при запуске диспетчера задач и редактора реестра прекращает активность, обнаружил с помощью мониторинга ресурсов амд + system informer (почему-то его майнер не боится). Путь процесса ведет к обычному проводнику, попытки детекта через cureit, AV block remover и microsoft defender плодов не дали. Помогите, пожалуйста, забороть гада.
       

      Вот путь, по которому ведет данный процесс:
       
    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • KL FC Bot
      Легитимные расширения Chrome крадут пароли Facebook*
      От KL FC Bot
      Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
      Атака на разработчиков: злоупотребление OAuth
      Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
      Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
      В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
       
      View the full article
    • Neovolt
      C:\ProgramData\Google\Chrome\updater.exe
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
×
×
  • Создать...