Исследователи безопасности из компании Koi обнаружили масштабную вредоносную кампанию, направленную на пользователей социальной сети ВКонтакте. Злоумышленники использовали сеть из пяти расширений для браузера Google Chrome, которые суммарно установили более пятисот тысяч человек. Под видом инструментов для кастомизации интерфейса и смены тем оформления скрывался сложный механизм перехвата управления аккаунтами.
Главным инструментом атаки стало расширение под названием VK Styles, которое обещало улучшить визуальный опыт использования соцсети. В коде плагина специалисты нашли скрытые функции, которые позволяли обходить системы защиты и выполнять действия от имени жертвы. Примечательно, что для координации работы вредоносного ПО хакеры использовали инфраструктуру самой социальной сети. Команды и адреса для загрузки вредоносных скриптов были зашифрованы в метатегах описания специально созданных пользовательских профилей, что позволяло трафику выглядеть легитимным и не вызывать подозрений у защитных систем.
Основной целью кампании была скрытая накрутка популярности сообществ. Зараженные браузеры с вероятностью 75 процентов автоматически подписывали пользователей на группу злоумышленников при каждом посещении сайта. Это позволило сообществу, маскирующемуся под официальную группу поддержки расширения, набрать более миллиона подписчиков. Помимо этого, вредоносный код каждые тридцать дней принудительно сбрасывал настройки аккаунта жертвы, меняя алгоритмы сортировки ленты новостей и восстанавливая доступ для манипуляций, если пользователь пытался изменить конфигурацию вручную.
Для реализации своих задач программа перехватывала и использовала CSRF-токены, которые предназначены для защиты от межсайтовой подделки запросов. Это позволяло расширению выполнять действия так, будто их совершает сам владелец страницы. Обнаружить активность удалось благодаря анализу кода, который генерировал динамические идентификаторы для метрик, пытаясь скрыться от статических анализаторов. На данный момент Google удалила основное вредоносное расширение из своего магазина приложений, однако эксперты рекомендуют пользователям проверить свои браузеры на наличие подобных надстроек и удалить их.
Источник: www.playground.ru