Информационная безопасностьНовости

Более 20 млн человек используют фальшивые блокировщики рекламы

Один из сооснователей и разработчиков AdGuard, Андрей Мешков, опубликовал в блоге компании интересную запись. Он пишет, что  из-за плохой модерации Chrome Web Store более 20 млн пользователей установили себе фальшивые блокировщики рекламы и фактически являются участниками ботнета.

Фальшивые блокировщики рекламы, равно как и подделки любых популярных аддонов и приложений, вовсе не редкость. К примеру, осенью 2017 года в официальном Chrome Web Store обнаружили поддельную версию Adblock Plus, которой пользовались порядка 37 000 человек.

Мешков рассказывает, что данная проблема не нова. Мошенники довольно давно размещают в Chrome Web Store клоны популярных блокировщиков (добавляя всего несколько строк собственного кода). В результате пользователи вполне могли установить что-то вроде Adguard Hardline или Adblock Plus Premium или другие имитации. Единственный возможный способ борьбы с подобными фейками — это обратиться к Google с жалобой о неправомерном использовании товарного знака. Удаление клона занимает несколько дней.

По данным AdGuard, в настоящее время ситуация стала хуже, а мошенники умнее. На скриншоте ниже приведены результаты поиска, содержащие подделки. К этим клонам злоумышленники добавили пару строк кода и аналитику, но также употребляют ключевые слова в описании расширений, чтобы оказаться первыми в результатах поиска.

Более 20 млн человек используют фальшивые блокировщики рекламы

Очевидно, таких простых трюков и пребывания в топе достаточно для завоевания доверия случайных пользователей. К примеру, только у одной из подделок насчитывается более 10 миллионов пользователей.

Более 20 млн человек используют фальшивые блокировщики рекламы

Изучив клоны более детально, специалист обнаружил следующие особенности. Первым заметным отличием от оригинального кода стало наличие файла coupons.txt. Вторая странность: при инициализации расширение загружает картинку со стороннего домена www.hanstrackr[.]com.

Более 20 млн человек используют фальшивые блокировщики рекламыБолее 20 млн человек используют фальшивые блокировщики рекламы

Как оказалось, эти файлы были загружены скриптом, скрытым внутри модифицированной библиотеки jQuery.

Функция возвращает строку: atob («здесь идет скрытый скрипт в base64»), которая затем выполняется. Сам скрипт обфусцирован. Найти его расшифрованную версию можно здесь.

Скрытый скрипт слушает каждый запрос, сделанный браузером, и сравнивает md5 (url + «% Ujy% BNY0O») со списком сигнатур, загружаемых из вышеупомянутого coupons.txt. Как только совпадение найдено, скрипт загружает iframe с домена g.qyz.sx, передавая информацию о посещенной странице, а затем повторно инициализирует расширение. Например, одна из этих сигнатур соответствует https://www.google.com/.

Внутри странного изображения обнаружился еще один скрипт, который расшифровывался и исполнялся, то есть мошенники прибегли к стеганографии. Как оказалось, таким образом подделка получает команды с удаленного командного сервера злоумышленников. Полученные команды исполняются в привилегированном контексте («background page» расширения) и могут изменять поведение браузера.

Эксперт пишет, что обнаружив вышеописанное, он просканировал другие расширения в Web Store и обнаружил еще четыре, использующие такой же подход. Хуже того, два из них вовсе не фальшивыми блокировщиками, и ничто не сулило проблем, если не проверять код:

В настоящий на данный момент все расширения уже удалены из Chrome Web Store.

В заключение статьи Мешков говорит, что в наше время серфинг в Chrome WebStore напоминает прогулку по минному полю. Эксперт советует подумать дважды перед установкой какого бы то ни было расширения, а затем, еще раз подумать дважды.