Сегодня утром наши защитные решения начали с интервалом несколько секунд выдавать предупреждения об опасности у многих пользователей браузера Google Chrome. В качестве источника угрозы указывался Trojan.Multi.Preqw.gen, который Chrome пытался скачать со стороннего сайта. Объясняем, что это было и что с этим делать.
Что это было? Вредоносные расширения
Наши эксперты совместно с коллегами из компании «Яндекс» обнаружили, что некие злоумышленники использовали более 20 браузерных расширений, чтобы заставить Chrome на компьютерах пользователей работать в своих интересах. В числе вредоносных плагинов были и достаточно популярные — Frigate Light, Frigate CDN и SaveFrom.
Расширения, установленные в браузерах суммарно более чем 8 миллионов пользователей, в фоновом режиме обращались к удаленному серверу и пытались загрузить вредоносный код — именно этот процесс наши защитные решения определили как опасный.
Чего добивались злоумышленники и чем это грозило пользователям?
Злоумышленники были заинтересованы в генерации трафика на видеоролики. Иными словами, расширения скрытно от пользователей проигрывали в их браузере интересующие злоумышленников видео, тем самым накручивая просмотры этих видео в онлайн-кинотеатрах.
При этом невидимый видеоплеер включался только при активном использовании браузера, так что неизбежное замедление компьютера можно было списать на стандартные тормоза Google Chrome под нагрузкой.
По словам коллег из «Яндекса», иногда у пользователей некоторых из таких расширений начинала проигрываться звуковая дорожка от скрытого видео.
Кроме того, вредоносные плагины перехватывали доступ к одной из социальных сетей — вероятно, для того, чтобы в дальнейшем накручивать лайки. Независимо от конкретных целей, компрометация учетной записи в соцсети — штука неприятная.
Что делать?
Если ваше защитное решение начало ругаться на Google Chrome (или другой браузер, основанный на Chromium), то первым делом нужно отключить вредоносные плагины — защита реагирует именно на них. Если вы не уверены, какой из плагинов опасен, попробуйте отключать их по одному, пока не найдете нужный.
«Яндекс» уже отключил ряд расширений в своем Яндекс.Браузере (построенном на базе Chromium) и продолжает искать остальные плагины, несущие угрозу.
Если вы пока не используете продукты «Лаборатории Касперского», но подозреваете, что у вас завелось опасное приложение, то имеет смысл установить одно из защитных решений для домашних пользователей. Впрочем, это имеет смысл сделать в любом случае.