Расширение в Chrome крадет банковские данные

ИБ-специалисты из компании Trend Micro обнаружили в Google Chrome вредоносное расширение ParaSiteSnatcher, которое нацелено на кражу финансовых данных пользователей Латинской Америки, в первую очередь Бразилии. 

Вредонос перехватывает POST-запросы с помощью API браузера, что делает уязвимыми данные крупных банков Бразилии Caixa Econômica Federal и Banco do Brasil, а также операции в системе быстрых платежей. Согласно отчету Trend Micro, расширение распространяется в трех видах загрузчиках на VBScript, которые находятся на Google Cloud и DropBox. 

Специалисты отмечают, что вредонос имеет сложную структуру, которая позволяет ему не только проникать в атакуемые инфраструктуры, но и долгое время оставаться в них незамеченными. После установки расширение может управлять веб-сессиями и запросами, отслеживать взаимодействия пользователей, внедрять вредоносный код на веб-страницы, а также перехватывать различные данные во время ввода в той или иной вкладке браузера. 

ParaSiteSnatcher разработан специально для работы в Google Chrome, однако может использоваться и в Firefox, и в Safari, но, как отмечают эксперты Trend Micro, для этого в код вредоноса необходимо внести изменения. 

Ранее ИБ-специалисты обнаружили уязвимость в самом механизме расширений, который предоставляет доступ ряду плагинов к DOM-дереву сайтов. Как показал эксперимент, злоумышленники могут создать собственное расширение, легитимно загрузить его в Chrome Web Store, а затем красть данные пользователей, которые установят расширение на свой компьютер.