A McAfee fenyegetéselemzői öt olyan Google Chrome-bővítményt találtak, amelyek lopva követik a felhasználók böngészési tevékenységét. A bővítményeket együttesen több mint 1,4 millió alkalommal töltötték le.
A rosszindulatú bővítmények célja, hogy nyomon kövessék, amikor a felhasználók e-kereskedelmi weboldalakat látogatnak, és úgy módosítsák a látogató sütijét, hogy úgy tűnjön, mintha a látogató egy referrer linken keresztül érkezett volna. Ezért a bővítmények szerzői affiliate díjat kapnak az elektronikus üzletekben történő vásárlásokért.
A McAfee kutatói által felfedezett öt rosszindulatú kiterjesztés, amit el kell távolítani a Chrome (és leszármazott) böngészőkből a következőek:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - 800 000 letöltés.
- Netflix Party 2 (flijfnhnhifgdcbhglkneplegafminjnhn) - 300 000 letöltés.
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - 200,000 letöltés
- FlipShope – Price Tracker Extension (adikhbfjfjdbjkhelbdnffogkobkekkkej) - 80,000 letöltés
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - 20,000 letöltés
A „Full Page Screenshot Capture - Screenshotting” és a „FlipShope - Price Tracker Extension” még mindig elérhető a Chrome Web Store-ban.
A két Netflix Party bővítményt eltávolították az áruházból, de ez nem törli őket a webböngészőkből, így a felhasználóknak manuálisan kell eltávolítaniuk őket.
Technikai elemzés
Ez a szakasz az 'mmnbenehknklpbendgmgngeaignppnbe' rosszindulatú Chrome-bővítmény technikai elemzését tartalmazza. Mind az 5 kiterjesztés hasonló viselkedést mutat.
A manifest.json a háttéroldalt bg.html néven állítja be. Ez a HTML-fájl betölti a b0.js-t, és ez felelős a meglátogatott URL elküldéséért és a kód befecskendezéséért az e-kereskedelmi oldalakba.
(forrás)