Эксперты "Лаборатории Касперского" обнаружили в Chrome Web Store вредоносное расширение, ворующее банковские данные пользователей.
По сути, расширение под названием Desbloquear Conteúdo (что в переводе с португальского значит «Разблокировать содержимое») осуществляло атаку «человек посредине» (Man-in-the-middle). Когда пользователь заходил на страницу банка, зловредный скрипт включал перенаправление трафика через прокси-сервер, принадлежащий злоумышленникам. Таким образом они могли анализировать трафик, добывая из него интересующую их информацию.
Также зловред содержал скрипты, предназначенные для извлечения той или иной информации, вводимой пользователем, с интернет-страниц. Например, когда пользователь попадал на страницу входа в онлайн-банк, зловред перекрывал поля ввода логина, пароля и одноразового кода подтверждения своими, полностью повторявшими интерфейс банка. По нажатии кнопки входа в банк он копировал введенные данные себе и лишь затем передавал эту информацию в реальные поля на банковской странице.
Обнаружить зловред удалось в том числе благодаря тому, что домен, на котором располагался его командный сервер, использовал тот же IP-адрес, что и несколько других доменов, ранее уличенных во вредоносной деятельности. Этим он и привлек внимание исследователей.
Эксперты отмечают, что с расширениями броузеров нужно быть предельно аккуратными — они далеко не так безобидны, как многим кажется.