Почти 7 миллионов пользователей стали жертвами вредоносных расширений для браузеров

Согласно данным телеметрии, собранным «Лабораторией Касперского», только в первой половине 2022 года пользователи попытались установить вредоносные расширения более 1 300 000 раз.

Количество попыток установки вредоносных расширений

С января 2020 года по июнь 2022 года более 4,3 миллиона уникальных пользователей скачали рекламное ПО под видом расширения для браузера. Это приблизительно 70% от числа всех пользователей, загрузивших вредоносные или нежелательные расширения. Стоит отметить, что эти цифры учитывают только пользователей, использующих ПО от ЛК. Жертв может быть гораздо больше, если учитывать пользователей, которые защищены другим ПО.

Напомним, рекламное ПО – программы, разработанные для продвижения рекламных партнеров, а не для улучшения удобства пользователя. Они анализируют историю браузера, чтобы подобрать рекламу с учетом интересов пользователя, встраивают баннеры в веб-страницы или перенаправляют жертв на реферальные сайты. Это приносит разработчикам гораздо больше денег, чем легитимная реклама в поисковиках.

Давайте быстро рассмотрим самые популярные из вредоносных расширений:

• WebSearch – с ним столкнулись 876 924 пользователей. Вредоносы этого семейства обычно маскируются под инструменты для работы с документами – конвертации Word в PDF, объединения файлов и решения других задач. По словам специалистов ЛК, WebSearch сохраняет и анализирует запросы пользователей в браузере, а потом подбирает ссылки на партнерские сайты, которые будут выводиться в результатах поиска. Кроме того, WebSearch меняет домашнюю страницу браузера мини-сайт, где есть только поисковая строка и несколько ссылок на сторонние ресурсы, например на AliExpress или Farfetch.

• AddScript – его жертвами стали 156 698 уникальных пользователей. Вредонос скрытно работает в фоновом режиме, загружая вредоносный JavaScript-код на устройство пользователя. После этого AddScript может начать «просматривать» видео незаметно для пользователя, обеспечивая своим хозяевам прибыль от просмотра роликов. Еще вредонос подгружает cookie-файлы на устройство жертвы, позволяя злоумышленнику получать небольшой процент за покупки, совершенные через браузер.

• Третьим по популярности рекламным ПО, вшитым в расширения, является DealPly – он заразил 97 525 пользователей. Чаще всего жертвами DealPly становятся пользователи, скачивающие взломанные программы с сомнительных ресурсов. Связанные с DealPly расширения заменяют стартовую страницу браузера мини-сайтом с реферальными ссылками. В системе вредонос закрепляется с помощью ключей реестра, которые будут загружать расширение на устройство после каждого удаления. Как и WebSearch, DealPly анализирует все запросы, введенные пользователем в новую строку поиска, сопоставляя их с наборами ключевых слов, и направляет пользователя на релевантные партнерские сайты.

Специалисты « Лаборатории Касперского » рекомендуют пользователям загружать расширения только из официального интернет-магазина браузера, изучать комментарии и отзывы пользователей, а также проверять разработчика/издателя. Кроме того, не будет лишним внимательно ознакомиться с тем, какие разрешения требует расширение.