Основы Интернет - технологий.

Исследователи из компании Socket обнаружили 152 вредоносных расширения для Chrome, замаскированных под живые обои для новых вкладок. Расширения собирали данные пользователей и, вероятно, использовались для мошенничества с рекламным трафиком.

Специалисты пишут, что суммарно 152 расширения были установлены более 105 000 раз. Все они маскировались под инструменты для оформления новых вкладок браузера (в основном предлагая различные живые обои с персонажами аниме, героями игр, автомобилями и знаменитостями).

Кампания охватывала 38 аккаунтов разработчиков в Chrome Web Store и была связана с тремя площадками: tabplugins[.]com, yowgames[.]com и chromewallpaper[.]com. Полный список вредоносных расширений можно найти в отчете Socket.

Изначально внимание экспертов привлек тот факт, что в описаниях расширений в Chrome Web Store утверждалось, будто они не собирают и не используют данные пользователей, однако в политике конфиденциальности сообщалось об обратном. Согласно документации, расширения фиксируют IP-адреса, сведения о провайдерах, количество кликов и источники переходов, а затем передают эти данные рекламным партнерам, включая Google AdSense и DoubleClick.

Кроме того, часть обнаруженных расширений содержала скрытые механизмы, которые активировались во время установки и удаления. Как выяснили исследователи, при установке расширения автоматически открывали специальную страницу с UTM-метками, создавая для аналитических систем видимость того, что пользователь попал на сайт через органическую выдачу Google.

Другой трюк был связан с удалением: в момент деинсталляции некоторые расширения отправляли специальный запрос через инфраструктуру Google, используя google.com/url. В аналитических системах такой запрос выглядел так, будто пользователь перешел по ссылке из поисковой выдачи.

Другими словами, расширения искусственно создавали сигналы, которые рекламные и аналитические системы обычно связывают с реальными посетителями, а операторы кампании могли искусственно влиять на показатели посещаемости и происхождения трафика.

Также исследователи обнаружили в коде расширений неактивную функцию для работы с IndexedDB. При запуске сервисного воркера она способна перечислять и удалять все обнаруженные базы данных IndexedDB. Пока этот механизм не используется, однако его наличие говорит о дополнительных возможностях, заложенных авторами малвари.

В Socket считают, что речь идет о коммерческой операции, связанной с рекламным мошенничеством и манипуляцией источниками трафика. Точную атрибуцию этой кампании установить не удалось, однако косвенные признаки указывают на возможную связь хакеров с Турцией.