Могут угнать аккаунт в Facebook.
Девятнадцатилетний студент из Дании, Максим Кьяер раскрыл список расширений для браузера Google Chrome, из-за которых, можно было потерять свой аккаунт в Facebook и в целом стать непреднамеренным участником вредоносных действий.
Мошенники распространяли эти расширения через социальную сеть. Они публиковали в Facebook посты эротического содержания. Когда пользователь переходил по ссылке к этому посту, то попадал на страницу с уведомлением о том, что прежде чем увидеть содержимое, он должен подтвердить свой возраст. В принципе, для контента откровенной тематики, это довольно привычная процедура. Однако, в отличие от большинства сайтов, где пользователи вводят свои данные в форму, здесь проверка возраста происходила путем установки расширения для браузера Chrome.
Расширения были размещены в интернет-магазине браузера, поэтому у многих пользователей не возникало вопроса об их надежности. В качестве автора расширения выступал viralands.com. Всего в магазине Chrome было размещено девять схожих расширений от этого разработчика.
Для примера, Максим Кьяер взял расширение Viral Content Age Verify. При его установке браузер выдает предупреждение, что это расширение может «Читать и изменять все данные на сайтах, которые вы посещаете». Кьяеру показалось это очень подозрительным, и он решил посмотреть код расширения.
В процессе анализа он выяснил, что проверка возраста в расширении фиктивна. Подтверждение возраста происходит просто через случайный промежуток времени. К тому же, в одном из файлов расширения содержится вредоносный скрипт, который после установки Viral Content Age Verify подключается к внешнему серверу и загружает другой сценарий (вредоносную программу полезной нагрузки malware payload). Стоит отметить, что вредоносный код загружается на одном из последних этапов, чтобы успешно пройти автоматическую проверку сканирования Google и попасть в интернет-магазин расширений.
После установки подобного расширения злоумышленники получали полный доступ к вашему браузеру. В частности, им были доступны логи паролей и нажатия клавиш. Они могли подписать вас на YouTube канал, выполнять DDoS-атаки, майнить Биткоины, читать электронную почту и много чего другого.
На момент открытия Кьяером этой схемы мошенничества, расширения viralands.com были установлены на 132 265 компьютерах. На сегодняшний день, все девять расширений удалены из интернет-магазина Chrome и добавлены в черный список, что означает, их автоматическое удаление из всех зараженных браузеров.