Исследователи безопасности Reason Labs обнаружили три фейковых VPN-расширения, которые установили 1,5 млн раз. Google удалила обозначенные плагины из интернет-магазина для браузера Chrome.
По мнению исследователей, вредоносные расширения распространялись через торрент-файлы популярных видеоигр. Reason Labs назвала Grand Theft Auto, The Sims 4, Heroes of Might and Magic III и Assassin’s Creed. Специалисты обнаружили установщик трояна более чем в 1 тыс. различных торрент-файлах. Загрузочные файлы имели размер от 60 до 100 МБ.
После запуска установщика на устройство распаковывалось одно из трёх вредоносных расширений и устанавливало его в браузер без ведома пользователя. Плагин устанавливался через раздел реестра Windows SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings.
В систему пользователя устанавливаются два расширения: netSave для Chrome и netPlus для Microsoft Edge. Исследователи указывают, что вредоносный плагин для Chrome был установлен 1 млн раз.
После установки расширение отключает другие плагины, которые могут быть загружены в браузер. Кроме того, расширение предоставляет поддельный VPN-интерфейс, чтобы скрыть от пользователя свои реальные намерения.
Фейковые плагины созданы на русском языке и, вероятно, ориентированы на русскоязычные регионы, включая Россию, Украину, Казахстан и Беларусь.
Reason Labs сообщила, что разработчик расширений, возможно, создал другие плагины. Исследователи рекомендовали пользователям устанавливать расширения, игры и программы только из легальных источников. Также специалисты советовали использовать только последние версии антивирусного ПО, избегать открытия неизвестных ссылок и нажатия на всплывающие окна, а также включить двухфакторную аутентификацию.
