Според Kaspersky, повеќе од 1,31 милиони корисници се обиделе да инсталираат малициозни екстензии на веб-прелистувачи барем еднаш.
„Од јануари 2020 година до јуни 2022 година, повеќе од 4,3 милиони уникатни корисници беа нападнати од рекламен софтвер скриен во екстензии на прелистувачот, што е приближно 70% од сите корисници погодени од малициозни и несакани [прелистувачи] додатоци“, соопшти компанијата.
Дури 1.311.557 корисници се обиделе да инсталираат вакви додатоци во првата половина на 2022 година, откриваат податоците од телеметријата на Kaspersky. За споредба, бројот на такви корисници го достигна својот врв во 2020 година (3.660.236), а во 2021 година тој број би бил половина од 2020 година (1.823.263).
Најчеста закана е рекламен софтвер наречен WebSearch, кој се маскира како PDF прегледувач и други услужни програми. WebSearch собира и анализира прашања за пребарување и ги пренасочува корисниците кон партнерските страници.
WebSearch е исто така познат по модификацијата на почетната страница на веб-прелистувачот, кој содржи пребарувач и бројни линкови до сајтови како што е AliExpress кои, кога жртвата ќе ги кликне, им помага на развивачите на екстензии да заработат пари преку придружни врски.
„Исто така, екстензијата го модифицира стандардниот пребарувач на прелистувачот во search.myway[.]com, кој може да ги фати корисничките прашања, да ги собира и анализира“, рече Kaspersky. „Во зависност од тоа што пребарувал корисникот, најрелевантните партнерски страници ќе бидат активно промовирани во резултатите од пребарувањето“.
Друга вообичаена закана наречена AddScript крие злонамерна функционалност под маската на преземач на видео-снимки. Иако екстензиите што го кријат AddScript го прават она што се очекува од нив, тие исто така го контактираат серверот за да го преземе JavaScript кодот.
Повеќе од еден милион корисници наидоа на adware само во првата половина на 2022 година, при што WebSearch и AddScript дојдоа со 876.924 и 156.698 уникатни корисници, соодветно.
Во екстензиите беше пронајден и малициозен софтвер за крадење информации FB Stealer, кој ги краде ингеренциите за најавување на Facebook и колачињата за сесии на најавените корисници. FB Stealer е одговорен за 3.077 уникатни обиди за инфекција во првата половина на 2022 година.
Злонамерниот софтвер првенствено ги таргетира корисниците кои бараат скршен софтвер на прелистувачот, а FB Stealer се доставува преку тројанец наречен NullMixer, кој се шири преку скршени инсталатери како што е SolarWinds Broadband Engineers Edition.
„FB Stealer го инсталира малициозниот софтвер, а не корисникот“, велат истражувачите. „Кога се додава во прелистувачот, имитира безопасна екстензија на Google Translate Chrome со стандарден изглед“.
Мотивот на овие напади е и профит. Дистрибутерите на малициозен софтвер, откако ќе ги добијат колачињата за автентикација, се најавуваат на сметката на Фејсбук на целта и ја киднапираат со промена на лозинката, блокирајќи ја жртвата. Напаѓачите потоа можат да го злоупотребат пристапот до сметката и да бараат пари од пријателите на жртвата.
Пред еден месец, истражувачите на Zimperium предупредија на малициозен софтвер наречен ABCsoup кој се маскира како екстензија на Google Translate. Во тоа време, овој малициозен софтвер беше дистрибуиран како дел од рекламна кампања насочена кон руските корисници на прелистувачите Google Chrome, Opera и Mozilla Firefox.
За да се заштити веб-прелистувачот од инфекции, на корисниците им се советува да се држат до доверливи извори за преземање софтвер, да ги прегледуваат дозволите за екстензии и периодично да ги прегледуваат и деинсталираат додатоците што „повеќе не ги користат или препознаваат“.