Исследователи безопасности нашли группу вредоносных расширений для браузера Google Chrome. Эти расширения были установлены примерно на 20 000 компьютеров. Всего обнаружили 108 таких дополнений, которые прятались под пятью вымышленными именами авторов.
Все эти расширения делали одно и то же: они тайно собирали данные пользователей — пароли, историю посещения сайтов, данные от аккаунтов — и отправляли все на один и тот же управляющий сервер злоумышленников.
Некоторые расширения воровали личные данные из аккаунтов Google: как только человек нажимал кнопку «Войти», злоумышленники получали его почту, имя, фотографию и уникальный номер аккаунта. Другие расширения при каждом запуске браузера молча открывали вредоносные страницы в фоновом режиме. Некоторые расширения каждые 15 секунд извлекали токены сессий Telegram Web и могли принудительно заменять активную сессию жертвы на сессию злоумышленника.
Чтобы люди добровольно устанавливали эти расширения, авторы маскировали их под полезные или безобидные вещи. Среди них были: клиенты для Telegram, игры-автоматы, улучшатели YouTube и переводчики.
Кража данных через OAuth2 происходила незаметно: например, расширение под видом гоночной игры Formula Rush Racing Game бездействовало до момента, пока пользователь не нажимал кнопку входа, после чего мгновенно захватывало его учетные данные Google. Пять расширений использовали легитимный API Chrome (declarativeNetRequest) для удаления заголовков безопасности еще до загрузки страниц.
Вот имена поддельных авторов, под которыми выходили эти расширения: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. Если хотя бы одно из них стоит в браузере, его нужно немедленно удалить. После этого обязательно необходимо зайти в Telegram на телефоне и в настройках завершите все активные сессии на компьютере — чтобы хакеры не могли остаться в вашем аккаунте.