Поддельное расширение Google Таблиц

Наша исследовательская группа обнаружила это поддельное расширение браузера Google Sheets во время расследования мошеннических веб-сайтов. Это вредоносное программное обеспечение маскируется под приложение для работы с электронными таблицами из веб-пакета редакторов Google Docs. Важно уточнить, что это расширение не имеет никакого отношения к Google Sheets, Google Docs Editors или Google LLC.

В результате анализа мы определили, что это мошенническое расширение предназначено для сбора конфиденциальных данных, отображения уведомлений браузера и потенциального участия в других вредоносных действиях. Когда мы запустили установку, содержащую это поддельное расширение Google Sheets, она также установила в нашу тестовую систему дополнительное нежелательное и потенциально вредоносное программное обеспечение.

Интересно, что это незаконное расширение не было установлено напрямую ни в браузерах Google Chrome, ни в Microsoft Edge. Вместо этого установщик поместил папку расширения (под названием «Расширение») в каталог «C:\Users[имя пользователя]\AppData\Local\Temp». Этот метод обеспечивает постоянство, а это означает, что удаление мошеннического расширения Google Таблиц из Chrome или Edge не устранит его полностью. После стандартного удаления программа снова появится при повторном открытии браузера.

Кроме того, наличие этого расширения на устройстве изменяет ярлык браузера Chrome или Edge, добавляя к цели «--proxy-server="217.65.2.14:3333"» (обратите внимание, что IP-адрес может отличаться). Инструкции по удалению этого программного обеспечения можно найти ниже.

Это поддельное расширение браузера Google Sheets также использует функцию «Управляется вашей организацией» в Google Chrome и Microsoft Edge для осуществления контроля.

Кроме того, расширение отслеживает активность пользователей в Интернете, собирая такие данные, как история просмотров и поиска, загрузки, интернет-файлы cookie, учетные данные для входа (имена пользователей/пароли) и финансовая информация. Эти конфиденциальные данные могут быть проданы третьим лицам или использованы для получения прибыли.

Более того, мошенническое расширение может рассылать спам-уведомления браузера, рекламирующие онлайн-мошенничество, ненадежное программное обеспечение или даже вредоносное ПО. Возможно, это расширение браузера обладает и другими вредоносными возможностями, помимо описанных.

Что такое мошеннические расширения браузера?

Мошеннические расширения браузера, также известные как вредоносные или поддельные расширения браузера, относятся к программам, которые предназначены для обмана пользователей или выполнения вредоносных действий при установке в таких веб-браузерах, как Google Chrome, Mozilla Firefox, Microsoft Edge или Safari. Эти расширения кажутся предлагающими полезные функции или функции, но на самом деле выполняют действия, которые ставят под угрозу конфиденциальность, безопасность или удобство просмотра пользователей. Вот ключевые характеристики и поведение мошеннических расширений браузера:

Обманчивый внешний вид: мошеннические расширения часто имитируют законные надстройки браузера, представляя себя полезными инструментами или утилитами, такими как блокировщики рекламы, менеджеры загрузок или средства повышения производительности. Их внешний вид и функциональность могут очень напоминать доверенные расширения, чтобы обманом заставить пользователей их установить.

Несанкционированные действия. После установки мошеннические расширения могут выполнять несанкционированные действия без согласия пользователя. Это может включать сбор конфиденциальных данных, изменение настроек браузера, внедрение рекламы или перенаправление веб-трафика на вредоносные веб-сайты.

Сбор данных. Мошеннические расширения часто собирают данные о просмотре пользователей, включая посещенные веб-сайты, поисковые запросы, учетные данные для входа и финансовую информацию. Эти данные могут быть использованы в рекламных целях, проданы третьим лицам или использованы в схемах кражи личных данных и мошенничества.

Модификация браузера. Некоторые мошеннические расширения изменяют настройки браузера или внедряют нежелательный контент на веб-страницы. Они могут изменить поисковую систему по умолчанию, изменить настройки домашней страницы или отображать навязчивую рекламу (рекламное ПО).

Риски безопасности. Мошеннические расширения браузера представляют собой серьезную угрозу безопасности. Они могут создавать уязвимости в браузере, делая его уязвимым для дополнительных заражений вредоносным ПО или подвергая пользователей фишинговым атакам.

Методы распространения. Мошеннические расширения часто распространяются с помощью обманных тактик, таких как поддельные обновления программного обеспечения, вводящая в заблуждение реклама, встроенные пакеты программного обеспечения или фишинговые электронные письма. Пользователи могут случайно установить эти расширения при попытке загрузить законное программное обеспечение или расширения.

Настойчивость и сложность удаления. Незаконные расширения могут использовать методы, позволяющие избежать обнаружения и удаления. Они могут переустанавливаться даже после удаления вручную, изменять ярлыки браузера или использовать функции браузера (например, «Управляется вашей организацией» в Chrome), чтобы предотвратить легкое удаление.