Расширения браузера Chrome замечены в краже паролей

Вредоносная программа, названная Nigelthorn распространяется через ссылки в Facebook и маскируется под популярные расширения. Получив доступ к пользовательским данным, она извлекает пароли и аккаунты, устанавливает софт для майнинга криптовалют и кликфрода.

Согласно отчету специалистов фирмы Radware, создатели вируса используют копии авторизованных расширений с добавлением короткого спрятанного скрипта, позволяющего им обходить проверку расширений, осуществляемую Google. Вредоносное ПО была названо Nigelthorn, в честь одного из вирусных расширений, которое копировало популярный плагин Nigelify, заменяющий все картинки на странице гифками Найджела Торнберри. Были обнаружены по крайней мере семь плагинов, на тот момент доступных для скачивания в официальном магазине расширений браузера Chrome.

Nigelthorn распространяется посредством автоматически сгенерированных ссылок в Facebook, которые направляют жертв на поддельную страницу YouTube, предлагающую скачать зараженный плагин, чтобы продолжить воспроизведение видео.

После установки расширение выполняет вредоносный скрипт, включая компьютер в ботнет. Подобные вредоносные плагины, Digimine и FacexWorm, замеченные в прошлом году, использовали похожую схему со сгенерированными ссылками в Facebook.

Nigelthorn преимущественно фокусируется на паролях от Facebook и Instagram и сборе информации об аккаунтах. Похищенная информация используется для последующего генерирования и распространения ссылок по списку друзей владельца зараженного аккаунта. Если кто-либо из этого списка попадется на уловку, весь процесс запускается вновь.

Nigelthorn также загружает доступный для широкого круга пользователей инструмент для майнинга таких криптовалют, как Monero, Bytecoin, Electroneum. За шесть дней авторам вируса удалось собрать около тысячи долларов в криптовалюте. Также Nigelthorn противится всяким попыткам пользователя удалить его, автоматически закрывая окно плагина, когда его открывает пользователь, а также добавляя в черный список инструменты разработанные Google и Facebook для удаления вредоносных плагинов. Более того, он способен влиять на возможность пользователя редактировать, удалять посты и оставлять комментарии.

Список вредоносных расширений, маскирующихся под авторизованные:

 — Nigelify;

PwnerLike ;

Alt-j ;

Fix-case ;

Divinity 2 Original Sin: Wiki Skill Popup ;

Keeprivate ;

iHabno.

На данный момент Google уже удалил все семь расширений, однако, если у вас установлено одно из них, вам рекомендуется немедленно удалить его и сменить пароли от всех аккаунтов в социальных сетях.

Поскольку спам-рассылки в Facebook довольно частое явление, всем пользователям следует быть бдительными и с осторожностью пользоваться ссылками и файлами, распространяемыми посредством платформы сайта.