Поддельное дополнение Evernote заваливает пользователей Chrome рекламой

Поддельное расширение обнаружили специалисты компании Malwarebytes. На первый взгляд пользователям кажется, что весь всплывающий рекламный контент размещен на посещаемых ими сайтами, но в действительности весь поток рекламы генерируется поддельным расширением Evernote.

Уязвимость вредоносного дополнения заложена в исполняемый файл PUP.EXE. По данным экспертов Malwarebytes, именно через этот файл и устанавливается поддельное дополнение. Как отметил аналитик компании Джошуа Кэннелл, это расширение совместимо с браузерами Chrome, Torch и Comodo Dragon. Расширение состоит из одного файла HTML и трех обфусцированных файлов JavaScript.

На Google Chrome вредоносное расширение устанавливается путем обновления файла настроек. Поддельное расширение имеет то же название, что и настоящее и проходит в базе приложений под тем же ID.

Таким образом, система защиты Google Chrome не видит угрозы в устанавливаемом расширении и санкционирует его установку. Определить подделку просто: при ее запуске ничего не происходит, тогда как оригинальное расширение выводит на экран форму входа в Evernote. По данным Джошуа Кэннелла, это происходит из-за работы расширения с контентным скриптом, что позволяет рекламе гарантированно загружаться на все открываемые пользователем страницы. В результате любой сеанс просмотра web-страниц с поддельным дополнением Evernote превращается в испытание раздражающей рекламой.

Поддельное расширение удаляется достаточно просто: достаточно всего лишь перейти на страницу управления расширениями Chrome, выбрать подделку и удалить ее нажатием на соответствующую иконку.