Пользователи Chrome, которые с ноября прошлого года сохраняли изображения с помощью расширения «Save Image as Type», должны немедленно его удалить, если оно ещё не отключено Google. Исследователи безопасности обнаружили, что после смены владельцев в код добавили вредоносный скрипт, который тайно перенаправлял трафик и крал партнёрские комиссии с покупок.
Google удалил расширение из магазина в начале этого месяца, но за несколько недель до этого оно уже успело «поработать» на тысячах браузеров. Группа, стоящая за атакой (её называют Karma), ранее взломала и захватила десятки других популярных расширений для Chrome и Edge.
Почему расширения стали лёгкой добычей
Браузерные дополнения — идеальная цель для злоумышленников. Google и другие компании регулярно вычищают из магазинов адблокеры, скачиватели видео с YouTube и «бесплатные» VPN, но новые вредоносные версии появляются снова и снова.
В этом случае атака была особенно хитрой. С ростом популярности формата WebP сайты активно используют его для ускорения загрузки и экономии трафика. Но WebP плохо поддерживается многими программами за пределами браузера. Поэтому пользователи устанавливали конвертеры, которые автоматически превращали изображения в привычные JPEG или PNG.
Вместо создания нового вредоносного расширения с нуля Karma просто купила уже раскрученное и доверенное. Смена владельца произошла между 13 и 29 ноября. Уже к концу месяца в коде появился скрипт, который перенаправлял пользователей на партнёрские ссылки Amazon, Adidas, Shein и других магазинов, собирая комиссию за каждую покупку.
Что делать прямо сейчас
Если вы когда-либо устанавливали «Save Image as Type», удалите его немедленно. XDA Developers опубликовал подробную инструкцию, как проверить, не осталось ли вредоносных следов в системе. Лучше всего выбрать альтернативный конвертер изображений из официального магазина Chrome, который не менял владельцев.
Исследователь безопасности Владимир Палант (Wladimir Palant) уже несколько месяцев отслеживает деятельность группы Karma и предупреждает: подобные захваты старых популярных расширений становятся всё более частыми.
