Расширяй, но проверяй: как отличить вредоносные расширения для браузера

[BOOX]

Исследователи компании ReasonLabs сообщили о новой волне атак на пользователей браузеров Chrome и Edge при помощи вредоносных расширений.

Злоумышленники распространяют ПО через поддельные веб-страницы, но, как показывает практика, встретить зловредные расширения можно и в официальных магазинах. В статье расскажем, какие возможности есть у плагинов для браузера, как отличить опасные ПО и не стать жертвой киберпреступников.

Как работают вредоносные расширения​

Расширения для браузера — это ПО, которые дают возможность увеличить функциональные возможности браузера. Правильные расширения обладают полезными функциями и могут существенно облегчить жизнь пользователям, например: убрать всплывающие просьбы о разрешении cookies, заблокировать рекламу, хранить пароли, помочь сохранить концентрацию или ограничить время на определенных сайтах, переводить текст, сохранять полезные вкладки и многое другое.

Однако не все расширения безопасны. Злоумышленники скрывают вредоносные программы под полезными и безобидными с виду инструментами.

Вредоносные расширения часто скрываются под названиями известных сервисов. Мошенники пользуются доверием людей к популярным приложениям, маскируя под их функциональностью вредоносное ПО. Известны случаи, когда пользователи скачивали расширение под названием Chat GPT For Google, а затем теряли доступ к аккаунтам в социальных сетях.

Вредоносные расширения могут маскироваться под бесплатные программы. В таком случае установщики вместе с приложением добавляют в браузер пакет расширений, о чем пользователь может узнать только после перезагрузки устройства. Такие расширения включают всплывающую рекламу, от которой трудно избавиться, или меняют стартовую страницу на малоизвестный поисковик, который отслеживает запросы пользователя.

Для распространения своих вредоносного ПО злоумышленники создают поддельные страницы или маскируют его под существующие расширения. Иногда клоны настолько искусные, что отличить фейковое ПО неспециалисту практически невозможно. В пример можно привести кейс расширения Copyfish, которое использовалось для распознавания текста на изображениях.

Один из разработчиков стал жертвой фишинга, и киберпреступники завладели кодом расширения. Впоследствии они создали клон Copyfish, который вставлял рекламу на страницы, посещаемые пользователем.

Чтобы оставаться незамеченными, вредоносные расширения используют различные методы маскировки. Они часто имитируют популярные и легитимные приложения, копируя их названия, иконки и описания, чтобы пользователи не заподозрили ничего подозрительного. Другой метод — это подмена функционала после установки: сначала расширение ведет себя легитимно, а затем, через некоторое время, начинает выполнять вредоносные действия. Некоторые расширения минимизируют свою видимую активность, чтобы не привлекать внимание, работая в фоновом режиме.

Любой пользователь, знакомый с базовыми правилами кибербезопасности, знает, что скачивать ПО стоит только из надежных проверенных источников. Однако и это не является гарантией безопасности. Так, исследователь кибербезопасности Владимир Палант

Для просмотра ссылки необходимо нажать Вход или Регистрация

в расширении PDF Toolbox, которое использовалось для работы с документами, для Google Chrome подозрительный код.

Палант продолжил поиски и

Для просмотра ссылки необходимо нажать Вход или Регистрация

еще 34 вредоносных ПО в Chrome Web Store, с общее число загрузок которых составило 87 миллионов раз. После нескольких публикаций компания Google удалила опасные расширения из своего магазина.

Расширения всегда на виду, в отличие от, например, скриптов и троянов, их можно найти в списке установленных расширений, то есть чаще всего они выглядят как настоящие легитимные инструменты. Зачастую вредоносное расширение действительно выполняет ту функцию, которую заявляет, например, является копией настоящего расширения, однако также выполняет и вредоносные функции. Если расширение было загружено не из магазина, а, например, с помощью трояна, то злоумышленники могут попытаться защитить расширение от удаления с помощью планировщика заданий или объектов в автозапуске. Если после удаления расширения, оно снова появляется в списке — это точно повод внимательно изучить ситуацию.

В чем опасность​

Чтобы выполнять свой функционал, браузерные расширения запрашивают от пользователя разрешение на свои действия и доступ к данным. Обычно нужно поставить галочку в графе «Просмотр и изменение ваших данных на всех сайтах». Таким образом, ПО получает возможность следить за всеми вашими действиями в браузере и может менять содержимое открываемых страниц.

Проблема еще в том, что не всегда можно определить безопасность расширения даже официального приложения, просто прочитав описание его разрешений. Иногда формулировки так размыты, что трудно понять, что именно может делать расширение с вашими данными. Например, многие расширения требуют право на «просмотр и изменение ваших данных на всех сайтах». Возможно, это действительно необходимо для их работы, но такое разрешение дает им почти неограниченные права и может быть использовано в вредоносных целях.

Для крупных компании — это тоже угроза: сотрудник может хранить на телефоне в заметках пароли от рабочей почты и таким образом, предоставив полное расширение безобидному приложению доступ к данным компаниям.

Функционал даже безобидного расширения позволяет ему потенциально совершать следующие действия:

• Собирать информацию о ваших действиях на сайтах;
• Видеть конфиденциальную информацию, в том числе данные карт, логины и пароли;
• Показывать любую рекламу;
• Заменять ссылки в поисковой выдаче.

Такие возможности браузерных расширений создают серьезные риски для информационной безопасности. Даже если расширение изначально не было вредоносным, со временем его функции могут измениться. Например, так произошло с

Nano Defender и Nano Adblocker. Продукт использовался для обхода механизмов защиты от блокировки рекламы на сайтах. По данным Интернет-магазина Chrome, у Nano Defender было более 200 тысяч пользователей, а Nano Adblocker — более 100 тысяч пользователей, когда владелец расширения продал его турецким разработчикам. После сделки новые владельцы загрузили обновленные версии расширений в магазин, в которых исследователи обнаружили новый файл connect.js. Как оказалось, новый фрагмент кода позволял разработчикам отправлять данные активности пользователей на удаленные серверы.

Все типы вредоносных расширений опасны по-своему, и трудно выделить какой-то один самый опасный тип. Есть расширения, которые в лоб воруют криптовалюту – они наносят прямой и понятный ущерб. Однако есть расширения, которые перехватывают аккаунты в соцсетях и даже могут подменять результаты выдачи поисковых систем. Ущерб от таких расширений может быть куда более существенным, однако на более длительном интервале. Определить такие расширения довольно непросто, потому что даже в официальных магазинах расширений могут попадаться вредоносные.

В интернет-магазинах можно найти расширения на любой вкус и с полезным функционалом. Друзья и коллеги делятся ссылками и рекомендуют друг другу находки. Это создает еще одну опасность — пользователи, не задумываясь, скачивают кучу расширений, не обращая внимания на безопасность. Например, популярный бесплатный плагин Hola VPN, вокруг которого

Для просмотра ссылки необходимо нажать Вход или Регистрация

скандал в 2015 году. Исследователи обнаружили в расширении ряд уязвимостей, а также обвинили Hola в коммерческом использовании интернет-каналов пользователей и злоупотреблении возможностями Hola для запуска DDoS-атаки.

Вредоносные расширения используют различные методы маскировки. Одним из них является маскировка под популярные расширения, когда вредоносные программы копируют название и иконки известных приложений, чтобы ввести пользователя в заблуждение. Кроме того, злоумышленники часто используют поддельные отзывы и оценки, создавая фальшивые высокие рейтинги и положительные отзывы для повышения доверия пользователей. Некоторые вредоносные расширения скрывают свою активность, делая ее минимально заметной, чтобы оставаться незамеченными дольше.

Как защититься​

Как уже говорилось выше, вредоносные расширения могут находиться в официальных магазинах годами. Надежность ПО должны проверять модераторы магазинов, но все-таки злоумышленникам часто удается обойти этот фильтр и разместить свои вредоносные расширения.

Определить такие расширения можно попробовать по следующим признакам:

1. Расширение требует чрезмерных разрешений, таких как доступ к данным на всех сайтах или управление системными настройками.
2. Поведение браузера изменилось после установки расширения: увеличилась реклама, появились новые панели инструментов или закладки.
3. Ваши данные или учетные записи были скомпрометированы после установки нового расширения.

Чтобы не стать жертвой злоумышленников, нужно соблюдать меры предосторожности при установке: ограничьте число расширений и удалите ненужные, изучите надежность ПО самостоятельно, почитав отзывы в магазине и поискав информацию о нем в интернете, читайте список запрашиваемых разрешений и используйте антивирус.

Вот несколько способов самостоятельной проверки расширения на безопасность для браузера:

• Во-первых, изучите отзывы пользователей и общую оценку расширения. Низкий рейтинг или негативные отзывы должны вызвать подозрение.
• Затем ознакомьтесь с разрешениями, требуемыми расширением. Если оно запрашивает доступ, не соответствующий его функциям (например, доступ к истории просмотров для блокировщика рекламы), это может указывать на потенциальную угрозу.
• Исследуйте, кто является разработчиком расширения. Проверенные вендоры обычно имеют официальные веб-сайты и поддержку.
• Используйте антивирусные программы. Некоторые из них могут сканировать расширения на предмет наличия вредоносной программы.
• Также обратите внимание на частоту обновлений расширения. Частые обновления обычно свидетельствуют о большей надежности.

Устанавливайте расширения осторожно и всегда проверяйте их на безопасность, чтобы минимизировать возможные риски.

Нужно также помнить, что если вредоносное расширение было обнаружено и удалено из магазина, то это не значит, что оно автоматически пропадет на вашем устройстве. Поэтому стоит проверить его наличие и удалить самостоятельно.

Заключение​

Расширения веб-браузеров выросли из нишевого ПО в полноценную субэкономику интернет-индустрии. С ростом популярности расширений увеличилось количество вредоносных расширений, которые представляют собой серьезную угрозу для безопасности и конфиденциальности пользователей.

Расширения для браузера имеют доступ к данным пользователя и могут использоваться для кражи личной информации, распространения вредоносного ПО и других незаконных действий. Но можно значительно снизить риск заражения, если следовать простым мерам предосторожности:

• скачивать расширения только из официальных магазинов;
• ограничить количество установленных расширений;
• использовать надежное защитное решение.

Важно помнить, что даже официальные магазины иногда могут содержать вредоносные расширения, поэтому всегда следует проявлять осторожность и внимательность при выборе и установке расширений.

Для просмотра ссылки необходимо нажать Вход или Регистрация