Хакеры следят за пользователями через расширения с вредоносными скриптами

Тогда исследователям удалось установить, что для успешной реализации слежки интернет-магазины используют специальные скрипты session replay scripts, которые владельцы ресурсов получают от сторонних аналитических сервисов. Такие инструменты используются многими ресурсами уже очень давно, но изначально они предназначались и стаивались на страницы сайтов исключительно для улучшения пользовательского опыта. То есть компании стремились получить как можно больше информации о своих пользователях и адаптировать свои ресурсы под нужды потенциальных клиентов, поэтому использовали выше названные скрипты. Но сейчас такие скрипты используются совершенно для других целей. Если рассмотреть подробно особенности действия этих скриптов, то с их помощью можно даже полностью повторить сессию пользователя. Это касается не только открытия конкретных страниц. Скрипты позволяют воспроизвести абсолютно все клики, которые делал человек во время сессии, посмотреть, как он прокручивал страницы и какие клавиши нажимал во время работы. Самыми навязчивыми и наиболее часто используемыми для слежки являются всего 6 скриптов, которые используются «Яндексом», Hotjar, FullStory, Smartlook.

Сейчас же специалистам, представляющим издание Bleeping Computer совместно с аналитиками компании Trend Micro удалось более подробно изучить данную проблему и обнаружить несколько интересных фактов.

Как оказалось, уже довольно длительное время скрипты session replay используются злоумышленниками, которые разрабатывают специализированные расширения для браузера Google Chrome. А это значит, что с их помощью хакеры тоже могут следить за своими пользователями.

Согласно информации экспертов, благодаря расширениями с внедренным вредоносным скриптом создавался довольно большой ботнет под названием Droidclub. С его помощью злоумышленники могли внедрять рекламу на страницы сайтов, которые открывает пользователь. А в некоторых случаях он даже использовался для добычи криптовалюты Monero. Всего специалистам удалось обнаружить в официальном интернет-магазине Chrome Web Store порядка 90 зараженных расширений. Они использовались в браузерах почти 424 тысяч пользователей. Сейчас уже Google позаботился о том, чтобы удалить все эти расширения из своего магазина, но вместо них начинают появляться новые расширения. В частности, исследователям из Bleeping Computer удалось обнаружить еще несколько таких дополнений: BrowserWatch, Strawberry Daiquiri Cocktail, To Deodorize Laundry и 11 Pumpkin Flavored Foods.

Если посмотреть на историю появления таких расширений, то эксперты установили, что первые зараженные плагины стали появляться еще в апреле 2017 года. Их список активно пополнялся вплоть до ноября 2017 года. Вместе с зараженным кодом операторы ботнета использовали и вполне легитимные скрипты. Например, при использовании такого скрипта в «Яндекс.Метрике» злоумышленники могли наладить полноценную слежку за пользователями и отслеживать каждый их шаг. Эксперты установили, что такие скрипты не могут в реальном времени перехватывать текст, который пользователь вводит, но тем не менее они могут запоминать данные, введеные в некоторые формы. Сюда можно отнести номера кредитных карточек и прочую финансовую информацию, имена, адреса электронной почты, номер телефона и пр.

Для распространения таких расширений злоумышленники выбрали довольно простой способ. Они использовали методы социальной инженерии и вредоносную рекламу. Например, если пользователь заходил на вредоносный сайт, то ему демонстрировалось уведомление, которое предлагало установить в его браузер расширение. Если человек соглашался и выполнял необходимые действия, то на его компьютер проникал вредоносный скрипт, который помогал хакерам отслеживать все действия пользователей.

Специалисты по кибербезопасности рассказали, что пользователям нужно делать, чтобы защитить себя. Все расширения должны устанавливаться либо с официальных интернет-магазинов, либо с официальных сайтов. Если какой-то сайт предлагает что-то установить, то окно с уведомление лучше просто закрыть. Если этого сделать не получается, тогда стоит закрыть саму вкладку.