Google удалил более 500 вредоносных расширений для браузера Chrome из официального интернет-магазина после двухмесячного расследования. Об этом говорится в отчёте команды Cisco Duo Security.
Вредоносный код, который внедряется в браузер через расширения, активируется при определённых условиях и перенаправляет пользователя на определённые сайты. Это могут быть как легальные партнёрские ссылки, так и фишинговые или заражённые сайты.
Исследовательская группа считает, что удалённые расширения были часть более крупной операции по распространению заражённого ПО, а группа, организовавшая эту операцию, могла быть активна с начала 2010-х годов.
По словам участника расследования, сначала он заметил вредоносные сайты, использующие общий шаблон URL, через них вышел примерно на десять расширений с единым базовым кодом, а затем — обнаружил всю сеть. Общее число установок этих расширений составило около 1,7 млн. Позже Google продолжил расследование и нашёл остальные вредоносные расширения — всего более 500. Сколько пользователей их установили, неизвестно, но понятно, что число установок исчисляется миллионами, указано в отчёте.
Google не впервые обнаруживает вредоносные расширения в собственном магазине, но в большинстве случаев они только внедряют рекламу в браузер. В раскрытой же схеме расширения уводили пользователя на другие сайты, параллельно маскируя и запутывая свои действия. После запрета Google декативировал все расширения в браузерах пользователей и пометил их «вредоносными», чтобы пользователи не стали включать их обратно.