Эксперты Avast обнаружили малварь, скрытую как минимум в 28 сторонних расширениях для Google Chrome и Microsoft Edge. Все эти расширения были связаны с популярными платформами: для браузера Google Chrome, это Video Downloader для Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, а также в списке специалистов есть несколько расширений для браузера Microsoft Edge. Найденная малварь позволяет расширениям загружать дополнительные вредоносные программы на компьютер пользователя, может перенаправлять трафик жертв на рекламные или фишинговые сайты, похищать личные данные (например, даты рождения, адреса электронной почты) и информацию об активных устройствах. Учитывая количество загрузок этих расширений в магазинах приложений, во всем мире могли пострадать примерно 3 000 000 человек. Пользователи также жалуются, что эти расширения мешают их работе в сети и перенаправляют их на другие сайты. Каждый раз, при нажатии на ссылку, расширения отправляют информацию о об этом действии на командный сервер хакеров. Далее злоумышленник может отдать команду для перенаправления человека с реальной ссылки на новый, вредоносный URL-адрес, и только потом отправляет на тот сайт, на который он изначально планировал посетить. Все это ставит под угрозу конфиденциальность пользователей, поскольку на сторонние сайты-посредники передается журнал всех кликов. Также хакеры извлекают и собирают даты рождения, адреса электронной почты и информацию об устройстве, включая время первого и последнего входа в систему, имя устройства, операционную систему, используемый браузер и его версию, даже IP-адреса (могут использоваться для определения географического местоположения жертвы). Исследователи Avast считают, что целью этой кампании в первую очередь является монетизация трафика: за каждое перенаправление на сторонний домен киберпреступники получают платеж. Также расширения могут перенаправлять пользователей на рекламные или фишинговые сайты. Команда Avast Threat Intelligence начала исследовать эту угрозу в ноябре 2020 года, но считает, что она могла существовать годами, просто никто ее не замечал. В магазине Chrome есть обзоры пользователей, в которых упоминается перехват ссылок, и датированы они декабрем 2018 года. На данный момент все зараженные расширения все еще доступны для загрузки. Avast связался с командами Microsoft и Google Chrome и сообщил о находках. И Microsoft, и Google подтвердили, что в настоящее время изучают эту проблему. Пока же Avast рекомендует пользователям отключить или удалить расширения на время, пока проблема не будет решена, а затем просканировать ПК и удалить вредоносное ПО, если таковое обнаружится.