Специалисты по кибербезопасности обнаружили сеть из 152 расширений для Google Chrome, которые распространялись под видом расширений с живыми обоями для новой вкладки и использовались для доставки потенциально нежелательного программного обеспечения (PUP).
Кампания охватывает 38 отдельных аккаунтов разработчиков в Chrome Web Store и связана с тремя брендовыми платформами: tabplugins[.]com, yowgames[.]com и chromewallpaper[.]com. В общей сложности эти расширения были установлены около 105 тысяч раз.
Среди обнаруженных расширений:
Neymar - Football Live Wallpaper
Satoru Gojo Manga Live Wallpaper
Porsche 911 - Sports Car Live Wallpaper
Satoru Gojo Live Wallpaper
Hello Kitty Wallpapers HD New Tab
Pusheen Cat Wallpapers HD New Tab
Peach & Goma Wallpapers HD New Tab
Spider-Man Miles Morales Swing Live Wallpaper
BMW M3 Neon Night Drive Live Wallpaper
BMW Wallpapers
Death Note Anime Wallpapers HD New Tab
Sonic Frontiers Starfall Live Wallpaper
Tanjiro - Demon Slayer Live Wallpaper
Neymar New Tab Wallpaper
Anime Car Drift Live Wallpaper
Choso Wallpapers New Tab
Anime Rain Live Wallpaper
Minecraft Sakura Pond Live Wallpaper
Straw Hat Live Wallpaper Ghost of Tsushima
Zenitsu Agatsuma Live Wallpaper
По словам исследователя компании Socket Куша Пандьи, все эти расширения заявляют в Chrome Web Store, что не собирают и не используют данные пользователей. Однако связанные с ними политики конфиденциальности говорят об обратном.
Согласно этим документам, расширения фиксируют IP-адреса пользователей, сведения о провайдерах, количество кликов и источники переходов. Собранная информация затем передаётся Google AdSense, DoubleClick и сторонним рекламным партнёрам.
Подмена источников трафика
Исследователи также обнаружили подгруппу расширений, содержащую два жёстко заданных URL-адреса в файле js/bg.js. Они активируются при установке и удалении расширения.
URL, вызываемый при установке, содержит UTM-метки:
utm_source=google
utm_medium=organic
utm_campaign=tanjiro-demon-slayer-live-wallpaperЗа счёт этого создаётся видимость того, что открытие вкладки после установки произошло в результате обычного перехода из поисковой выдачи Google.
URL, вызываемый при удалении, использует механизм перенаправления через google.com/url, маскируя действие так, будто пользователь пришёл по настоящему результату поиска Google.
Органический поиск представляет собой бесплатные результаты поисковой выдачи, которые формируются алгоритмами поисковой системы. Их позиции определяются такими факторами, как релевантность, авторитетность ресурса и SEO-показатели, и отличаются от рекламных объявлений.
По данным Socket, цель расширений заключается в искусственном создании подобных сигналов, фактически подделывая происхождение собственного трафика.
Компания пояснила, что такой визит не связан с реальным пользователем, выполнившим поиск в Google. Вместо этого расширение самостоятельно открывает вкладку и помечает её как переход из органической выдачи.
Сценарий удаления идёт ещё дальше. Адрес назначения оборачивается в тот же формат google.com/url, который используется Google для переходов по результатам поиска. При этом сохраняются служебные параметры ved и usg, благодаря чему событие выглядит как обычный клик пользователя по ссылке в поисковой выдаче.
Скрытая функция удаления данных
Исследователи также обнаружили в JavaScript-файлах неактивную функциональность, позволяющую перечислять и удалять все базы данных IndexedDB, доступные расширению.
Эта возможность запускается при старте service worker, однако на момент анализа оставалась неиспользуемой.
Вероятная цель кампании
По оценке специалистов, кампания представляет собой коммерческую операцию по распространению рекламного ПО и мошенничеству с атрибуцией трафика, ориентированную на получение финансовой выгоды.
Источник: HN