Praha, 17. prosince 2020 – Analytici Avastu (LSE:AVST), globálního lídra v oblasti digitálního zabezpečení a ochrany soukromí, odhalili malware v nejméně 28 rozšířeních celosvětově známých platforem pro Google Chrome a Microsoft Edge. Tento škodlivý software dokáže uživatele přesměrovat na reklamní nebo phishingové stránky a zcizit jejich osobní údaje, jako je datum narození, e-mailová adresa a aktivní zařízení. Podle informací o stažení z obchodů s aplikacemi mohl tento malware napadnout až tři miliony lidí po celém světě.
Mezi infikovaná rozšíření patří Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock a další pro prohlížeče Google Chrome a Microsoft Edge. V rozšířeních založených na Javascriptu objevili analytici Avastu škodlivý kód, který jim umožňuje malware stáhnout do počítače uživatele.
Uživatelům tato rozšíření komplikují prohlížení internetu a přesměrovávají je na jiné stránky. Kdykoli uživatelé kliknou na nějaký odkaz, rozšíření odešle informaci na kontrolní server útočníka, který může ještě před otevřením požadované stránky vyslat příkaz k přesměrování oběti na novou, škodlivou URL adresu. Tento proces narušuje soukromí uživatelů, jelikož odesílá záznamy o všech kliknutích webovým stránkám třetích stran. Útočníci tímto způsobem také dokáží zjistit datum narození a e-mailovou adresu uživatelů i údaje o jejich zařízení, jako je datum prvního a posledního přihlášení, jméno zařízení, operační systém, verze používaného prohlížeče a dokonce i IP adresu (kterou mohou následně použít k určení přibližné polohy konkrétních uživatelů).
Analytici Avastu se domnívají, že cílem malwaru je zpeněžení samotného provozu. Za každé přesměrování na doménu třetí strany by kyberzločinci dostali platbu. Rozšíření však také umožňuje přesměrovat uživatele na reklamy nebo phishingové stránky.
„Naše hypotéza je, že útočníci buď rozšíření záměrně vytvořili s vestavěným malwarem, nebo počkali, až se rozšíření stanou populárními, a poté provedli aktualizaci obsahující malware. Je tu i možnost, že autor rozšíření vytvořil a prodal a teprve nový vlastník do nich vložil malware,“ uvedl malwarový analytik v Avastu Jan Rubín.
Analytici z týmu Avast Threat Intelligence začali tuto hrozbu sledovat v listopadu 2020, ale domnívají se, že mohla být aktivní roky, aniž by si toho někdo všiml. V internetovém obchodě Chrome existují recenze, které zmiňují přesměrovávání odkazů již od prosince 2018. Rubín dodal: „Zadní vrátka v rozšíření jsou dobře skrytá a mohou se začít projevovat škodlivým chováním až několik dní po instalaci, což ztěžuje odhalení bezpečnostním softwarem.“
Malware bylo obtížné odhalit, protože má schopnost „skrýt se“. Analytik malwaru v Avastu Jan Vojtěšek uvedl: „Virus detekuje, zda si uživatel prohledává některou ze svých skrytých domén, nebo zda je například vývojářem webu, a pokud ano, nebude ve svých prohlížečích provádět žádné škodlivé činnosti. Zabraňuje infikování lidí, kteří mají větší zkušenosti s vývojem webů, protože by mohli snadněji zjistit, co rozšíření dělají na pozadí.“
V tuto chvíli jsou infikovaná rozšíření stále k dispozici ke stažení. Avast kontaktoval týmy Microsoft Edge a Google Chrome. Obě společnosti potvrdily, že se aktuálně tímto problémem zabývají. Avast mezitím uživatelům doporučuje deaktivovat nebo odinstalovat rozšíření, dokud nebude problém vyřešen, a poté provést kontrolu zařízení a malware odstranit.
Seznam napadených rozšíření: