Ботнет Droidclub, действующий через расширения для Chrome, затронул более 400 тыс. пользователей

Trend Micro обнаружила новый ботнет Droidclub, распространяемый через расширения для браузера Chrome, который затронул более 400 тыс. пользователей. Этот ботнет использовался для инжекции рекламных объявлений и кода для майнинга на сайты, которые посетила жертва.

В дополнение к вышеуказанным функциям Droidclub также злоупотребляет легальными библиотеками просмотра сеанса посещения сайта. Эти скрипты вводятся на каждый сайт, который посещает пользователь. Библиотеки предназначены для воспроизведения посещения пользователя на веб-сайте, чтобы его владелец мог видеть, как пользователь сзаимодействовал с платформой. Ранее исследователи говорили о вероятности злоупотребления этими библиотеками, но это первый раз, когда специалисты Trend Micro увидели использование этой методики.

Злоумышленники заставляют пользователей устанавливать вредоносные расширения Chrome посредством сочетания рекламы и социальной инженерии. В официальном интернет-магазине Chrome было найдено 89 расширений Droidclub. Исходя из загрузок этих расширений, Trend Micro оценивает, что они затронули до 424 тыс. пользователей. Google уже удалила эти расширения из магазина, кроме того, коммандные серверы ботнета были удалены из Cloudflare.

Компания рекомендует несколько методик, которые помогут защититься от такого типа атак. Можно использовать службы веб-блокировки или блокировщиков скриптов, которые блокируют отображение вредоносных сайтов. Обучение пользователей также помогает снизить риски выполнения ими шагов, предписываемыми ложными сообщениями об ошибках. Системные администраторы также могут настраивать политики Chrome, которые запретят пользователям устанавливать расширения в своих системах.