Эксперт в области кибербезопасности Лоуренс Абрамс (Lawrence Abrams) обнаружил в каталоге Chrome Web Store подозрительное расширение Browse-Secure, позиционируемое как инструмент, гарантирующий пользователям безопасный поиск. В действительности программа собирает данные (имя, адрес электронной почты, информацию о поле, номере мобильного телефона и адресе) из учетных записей пользователей в Facebook и LinkedIn и отправляет их на удаленный сервер.
Страница Browse-Secure в Chrome Web Store не вызывает особых подозрений, за исключением отсутствия иллюстраций. По словам Абрамса, расширение также предлагается на сторонних мошеннических сайтах, которые отображают фальшивые уведомления об угрозе безопасности и рекомендуют загрузить плагин для устранения проблем.
После установки Browse-Secure подключается к серверу по адресу backend.chupashop.com/getuid4search и пользователю присваивается идентификатор, который затем используется для определения данного конкретного браузера. Затем расширение обращается к содержащему в нем файлу crawl.json, включающему список правил и URL, которые Browse-Secure использует для извлечения данных. Получив нужную информацию, расширение загружает сведения на сервер. В каких целях разработчики Browse-Secure используют похищенные персональные данные в настоящее время неизвестно, отмечает Абрамс.
В аннотации к расширению разработчики заявляют, что Browse-Secure сделает поиск более безопасным, однако исследователь не уверен в правдивости данного утверждения. После установки расширения в поисковой строке действительно появляется значок с изображение замка, а запросы к поисковым системам Google, MyWebSearch, Bing, MSN, Ask, WoW, MyWay, AOL и SearchLock проходят переадресацию. При поисковом запросе расширение формирует ссылку browse-secure.com/search?a=[id_расширения]&q=[поисковый запрос], затем пользователь перенаправляется в Google или другую поисковую систему. Таким образом авторы расширения отслеживают еще и IP-адреса пользователей.
Месяцем ранее Абрамс обнаружил плагин для Chrome под названием Ldi, выводящий вредоносную активность расширений на новый уровень. Ldi не только устанавливает в браузере майнер Coinhive, но также использует учетную запись Gmail жертвы для регистрации бесплатных доменов с помощью сервиса Freenom.

Источник: securitylab.ru