Что такое расширение для браузера Google Chrome с вредоносным кодом

Расширения для браузера с вредоносным кодом.
Обновлено:

Случилось так, что на системном диске “С” закончилось место, и я с дуру нажал на кнопку “уплотнить файлы”, но когда таймер показал время окончания процесса (часов 10-15), я схватился за голову - ничего себе, безобидная попытка освободить чуть-чуть дискового пространства! Тут мне ничего не оставалось, как отменить процесс уплотнения, и что бы Вы думали?

На черном экране выскочила зловещая командная строка, с которой чего я только не вытворял - все было бесполезно, процесс загрузки системы не срабатывал, и каждая очередная попытка прерывалась появлением все той же дурацкой надписи, предлагающей ввести некий загадочный волшебный код.

 [[widget_id=19]

Далее Вы узнаете, дорогой друг, как мне удалось решить проблему запуска компа, как была раскрыта тайна входа в кабинет “интернет-банкинга” и в аккаунты различных сервисов, вход в которые был заблокирован. Коснусь причин, из-за чего могут тормозить и глючить кнопки сайтов, а также дам рекомендации, что нужно делать периодически для профилактики таких косяков.

На самом деле все оказалось прозаично: при обновлении браузера хром каким-то образом подгрузилось приложение Safe Torrent Scanner, которое и стало причиной блокировки практически всех аккаунтов, где нужно вводить логин и пароль. Если вдруг и Вас постигла та же участь - ответ найдете в этой заметке.

Что такое расширение для браузера

Расширение для браузера - это программа, написанная по определенным алгоритмам и выполняющая конкретные функции, заложенные в ней разработчиком. Самый большой банк расширений - магазин Google Chrome. Но как определить, что расширение безопасно, и чем оно занимается в браузере?

Как правило, вирусные расширения маскируются под популярные приложения известных разработчиков. Если оценивать его глазами программиста, то внутри плагин устроен как сочетание файлов manifest.json, popup.html и popup.js, работающих в связке. Приведу фрагмент файла manifest.json для наглядности:

  1. "manifest_version": 2,
  2. "name": "GTmetrix Analyzer Plugin",
  3. "description": "This extension will analyze a page using GTmetrix",
  4. "version": "1.0",
  5. "browser_action": {
  6. "default_icon": "icon.png",
  7. "default_popup": "popup.html"
  8.  },
  9. "permissions": [
  10. "activeTab"
  11. ]
  12. }

Как видим, код содержит все три типа файлов, активно взаимодействующих между собой, но изучать языки исполняемых скриптов не входит в наши планы - задача заключается в том, чтобы просто убедиться, что код можно открыть доступными средствами.

Открыть и проверить код можно с помощью бесплатного приложения, которое устанавливается прямо в Гугл-магазине webstore и называется Chrome extension source viewer, поэтому заходим по ссылке и устанавливаем плагин.

Установка расширения Chrome extension source viewer.Установка расширения Chrome extension source viewer.

Теперь для того, чтобы увидеть исходный код подопытного расширения, нам достаточно зайти на его страницу в Гугл-магазине, нажать левой кнопкой на желтый значок Сhrome-extension-source-viewer и в выпавшем окошке кликнуть “View sourse”.

Открываем код и проверяем расширение.

В новом окне откроется список файлов интересующего нас плагина: исходный код любого из файлов можно увидеть, если кликнуть по нему левой кнопкой мыши.

Открытый код расширения для браузера.

Открытый код сразу увеличивает степень доверия к такому плагину, если же код закрыт или просто не открывается, то есть установлена защита, значит автору есть что скрывать.

Перед установкой любого расширения нужно хорошенько проверить автора, оценить его популярность, чтобы не нарваться на фальшивку, на подделку могут указать грамматические ошибки в описании, поэтому следует обратить внимание и на это.

Желательно проверить наличие ссылок, обзоров и отзывов в интернете, и очень важный момент - уточнить, к каким именно ресурсам вашего браузера приложение просит получить доступ. 

Если это попытка использования какого-либо аккаунта, например, гугл-почты, то очевидно, что здесь не все так однозначно - в подобном случае следует удвоить или даже утроить внимание к такому приложению.

Антивирус в браузере

Несмотря на то, что Google Chrome и другие браузеры регулярно обновляют свою защиту, этого далеко не достаточно, чтобы защититься от вредоносных расширений. Поэтому необходимо предпринимать меры самостоятельно, устанавливая защитную связку плагинов, выполняющих наиболее качественно эти функции.

Ситуация, в которой я однажды оказался, потребовала напрячь все свои мозги, так как познания компьютера не заходили столь далеко, а о командном коде имел только общее представление, в частности, что с его помощью можно общаться с компом напрямую, минуя операционку, открывать и копировать папки, вызывать некоторые функции.

Однако копаться в коде не было ни времени, ни желания, так как давно уже готовился к переустановке операционной системы Windows-7, которая была установлена года два назад и стала изрядно тупить, хотя специалисты рекомендуют переустанавливать ее раз в три месяца, поэтому единственной задачей в данный момент я видел - как попасть в BIOS.

Это было необходимо сделать для того, чтобы запустить установку винды, иначе система игнорировала вставленный диск с дистрибутивом, так как только оттуда можно было назначить местом загрузки оптический привод, или по простому дисковод, ведь биос является интерфейсом управления функциями материнской платы.

Попасть туда оказалось делом непростым - окно-подсказка с расшифровкой горячих клавиш появлялось лишь на секунду, и поймать его в объектив смартфона получилось где-то с третьего раза, только тогда удалось прочесть, что нажимать - F1, F2, F3 или F5, и даже для перехода нужна была реакция, потому что временной промежуток, отводимый для этого действия, составлял около одной секунды.

Диск с операционной системой был подготовлен заранее (записан с архива, хранящегося на жестком диске компьютера), поэтому процесс занял минут сорок, по ходу требовалось вводить некоторые данные, например, часовой пояс, логин, пароль, а завершали процедуру настройки экрана, заставок, шрифта, размеров значков.

Система загрузилась быстро благодаря твердотельному SSD диску (solid state drive, или диск с твердотельным накопителем), вмещающему всего 120 Гб информации и предназначенному исключительно для программного обеспечения, потому что скорость его работы раз в десять превышает скорость своего старшего собрата HDD (hard disk drive, или жесткий диск), используемого для хранения файлов.

Защита браузера

Проблемы начались после установки и обновления браузера Google Chrome, когда сделал попытку войти в свой аккаунт на буксе Seo-Fast - капча легко разгадывалась, но при нажатии кнопки “Войти” ползунок таймера доходил до половины и сбрасывался, повторное нажатие приводило к аналогичному результату: в кабинет было не попасть.

С буксом Seosprint получалось еще круче - там вообще ни одна кнопка не срабатывала, а из всех подобных сайтов работоспособными остались лишь Profitcentr и Авизо. Но когда попытка залогиниться в аккаунте Беларусбанка закончилась красной надписью “Произошла ошибка, обновите страницу и попробуйте еще раз”, то это сработало как контрольный выстрел в голову.

Ошибка входа в аккаунт Беларусбанка.

Двадцатая попытка входа послужила сигналом к поиску ответов в интернете, в результате чего натыкаюсь на паблик Беларусбанка во ВКонтакте и вижу ответ на свой запрос: “Обращайтесь в техподдержку по телефону 147”. После пятиминутного прослушивания музыки, звучащей из телефонной трубки, от девушки с милым голосом по имени Юлия узнаю, что нужно почистить кэш и куки браузера.

Что произошло с браузером?

Как и предполагал, выполнение рекомендаций Юлии, и даже зачистка истории браузера Гугл-хром не дали никакого результата, и интернет ничего вразумительного не советовал, а зайти в аккаунт с другого браузера как-то в голову не пришло от шока и еще потому, что пароли были сохранены лишь в браузере Хром.

Потеря контроля над банковскими картами и транзакциями грозила превратиться в глобальную финансовую катастрофу (так можно и заикой стать), но нашел в себе силы кое-как прийти в себя и продолжить искать разгадку этой коварной головоломки.

Лишь через пару дней поисков, после того, как перепробовал запросы в самых различных комбинациях и сочетаниях, наткнулся на историю одного блогера, в которой тот успешно реанимирует кнопку “Войти” на сайте Seosprint.

Неожиданное открытие

Потрясающая подсказка незнакомого коллеги, до которой сам никогда бы не додумался, сыграла невероятную роль - оказывается, все дело было в установленном расширении браузера, и после захода на страницу через “Дополнительные инструменты” - “Расширения” приступаю к поиску "диверсанта".

Вход во вкладку "Расширения" в браузере Google Chrome.

Как понять, что это расширение содержит вредоносное ПО? Просматриваю свои установленные плагины и нахожу не знакомое мне “Safe Torrent Scanner”, деактивирую его - передвигаю ползунок в неактивное положение.

Страница расширений.

Без проблем вошел в Seosprint, а думал, что уже потерял аккаунт, вход в кабинет Беларусбанка также состоялся с первой попытки. Что это было? Как такое в принципе возможно?

Кабинет Беларусбанк.

Смешанное чувство счастья и недоумения переполняло - почему мне с таким трудом удалось найти причину? Надо непременно разобраться, что же такое эти вирусные паразиты и можно ли с ними бороться.

Расширение для браузера Safe Torrent Scanner

Если судить по названию, то расширение “Safe Torrent Scanner” загрузилось с сайта разработчика, когда устанавливал вэб-торрент-клиент, а предупреждение об установке я проигнорировал или не заметил, да если бы и было иначе, то мне бы и в голову не пришло что-либо подумать неадекватное.

Тесты на другом компьютере также обнаружили “диверсанта” - “CryptoSearch - Default Search” - его-то я уж точно не устанавливал, оно само подгрузилось с какого-то сайта при серфинге, с какого именно - сейчас уже сложно определить.

Важно одно - найдена истинная причина, на которую никогда не указала бы техподдержка или антивирус, даже "всезнающий" интернет не всегда способен прийти на помощь. 

На душе отлегло - это-ж надо, из-за какой-то "мелкой" пакости жизнь едва не превратилась в ад! Настало время разобраться с этими тараканами, чем они занимаются и чем еще могут быть опасны.

Насколько опасны вирусные расширения

Назначение вирусных расширений, как и всех шпионских программ, достаточно банально и прозаично:

  • Кража конфиденциальных данных, паролей и реквизитов банковских карт
  • Принудительный майнинг криптовалют
  • Объединение зараженных компьютеров в “ботнеты” для организации кибератак на компании с целью извлечения незаконной прибыли

Как предостеречь себя от опасных расширений

Для того, чтобы не нарваться, следует регулярно проверять установленные в браузере приложения и расширения, даже если для этого нет видимого повода - ведь не факт, что нежелательный скрипт как-то себя внешне проявит.

Случается так, что разработчик продал свое творение перекупу, а тот запустил через него рекламу и имеет прибыль с вашего ПК, особенно это актуально, если плагин установлен достаточно давно.

Но если нежелательная реклама - это всего лишь безобидный способ получить с нашей помощью дополнительную копейку, то все, о чем сказано выше касательно фишинга, майнинга и ботнетов - уже далеко не шутки.

Тут уж, как говорится, ответственность лежит на самом пользователе, а с какой периодичностью проверять свой браузер - решать лишь ему самому, главное - предупрежден, значит вооружен.

Каких еще плагинов следует опасаться

Большинство опасных приложений маскируются под помощников популярных сторонних сервисов, таких, как видео и соцсети. Поэтому каким бы трендовым не было расширение, оно способно по-тихому творить свое черное дело. Приведу лишь некоторые примеры популярных плагинов, которые, скорее всего, уже "переоделись" и сменили название.

Потенциально опасные расширения для браузеров
НаименованиеКатегорияЧисло пользователейРейтинг
Upload photo to InstagramСоцсети72*****1
VK UnBlock. Works fastСоцсети10 000 +****14
Vimeo Video DownloaderВидео60 000 +***** 3300
Video Downloader for FacebookВидео200 000 +**** 1400
Universal Video DownloaderВидео1000 +***** 13
App Phone for InstagramСоцсети500 000 +**** 1536
Invisible mode for Instagram Direct MessageСоцсети2 000 000 +**** 187
Downloader for InstagramСоцсети200 000 +***** 670

Разобраться в реальной деятельности внешне вполне респектабельного плагина без специальных навыков не выйдет. Расширения, перечисленные в таблице, были исследованы специалистами известного антивирусного сервиса "Аваст" и нашли их подозрительными. Но даже крутой спец не может утверждать с полной уверенностью о вредоносной сущности плагина.

Причина в том, что подобные скрипты в своем коде обращаются к облачным компонентам, доступ к которым ограничен или защищен сложным паролем, поэтому никто однозначно не сможет утверждать об опасности, пока не взломает хранилище скриптов потенциального диверсанта.

Основные выводы

Плагины, приложения и расширения живут в браузере своей загадочной жизнью, среди них могут быть как помощники, так и паразиты, но раз уж так повелось, что без них ну просто никуда, давайте подобъем итоги, как вести себя в их окружении:

  • Регулярно - один или два раза в месяц - проверяем свои расширения на наличие незнакомых и удаляем их
  • При появлении глюков в системе входа в аккаунты ищем незнакомые плагины и удаляем
  • При малейшем подозрении о смене владельца (смена логотипа, названия, появления подозрительной рекламы и т.п.) идем в webstore от Гугл, перечитываем и анализируем информацию
  • При установке новых расширений проверяем:
  • на популярность - желательно от 1 млн. скачиваний
  • на наличие отзывов, обзоров, ссылок в интернете
  • на ”открытость кода” плагином “Сhrome-extension-source-viewer”
  • на наличие грамматических ошибок в описании

Яндекс-браузер начал борьбу с вредоносными расширениями.Яндекс-браузер начал борьбу с вредоносными расширениями.

Заключение

Искренне надеюсь, дорогие друзья, что случись с вами нечто подобное - столкнетесь с проблемами входа в аккаунт, с какими-либо другими глюками системы по непонятной причине - вы не станете паниковать, а выполните довольно простые действия, описанные в этой заметке.

Ну а если вдруг наткнетесь на что-то необъяснимое - пишите в комментариях, будем разбираться вместе. Удачи Вам, безопасности и здоровья!

Искренне ваш, охотник за плагинами-диверсантами Александр

2 комментария

  1. Аватар комментатора Александр Морозов

    Спасибо, дорогой kypcocp-1, за продвинутый комментарий. Эта информация будет полезна не только мне, но и всем читателям

    Ответить
  2. Аватар комментатора Пользователь
    Я так и не понял, зачем в BIOS надо было попадать. После прохождения POST (Power On Self Test - самопроверка при включении питания ) системный динамик подает одиночный короткий сигнал, если сигнал длинный или их несколько, то у вас проблемы с оборудованием. После сигнала надо нажимать ту клавишу, которая должна вызвать нужное действие. Нажимать лучше короткими нажатиями. На некоторых BIOS попасть в промежуток времени с момента показа действий клавиш до момента когда загрузка уже не реагирует сложно без подготовки и реакции, а вот короткими нажатиями получается. Постоянно давить, часто тупо не срабатывает. Вот только для одноразовой загрузки с другого накопителя нет нужды выставлять эту загрузку в BIOS как постоянную, затем откатывать опять в BIOS, для этого просто надо использовать клавишу выбора сценария загрузки. Обычно это F8 или F12. В появившемся списке накопителей выбираем тот, который нам нужен с него и произойдет однократная загрузка. При следующей загрузке по умолчанию будет загрузка с указанного в BIOS накопителя.
    Ответить

Оставить комментарий

Отправить комментарий Отменить

Сообщение