Сайт и расширение megabonus начали рассылать вредоносный код
Несколько дней назад стал замечать, что chrome работает с заметными глюками. Еще через пару дней касперский начал выдавать предупреждение о попытке скачать вредоносный файл, причем когда не открыто почти никаких вкладок. Недолгий поиск показал, что расширение megabonus, которое предназначено для получения кэшбэка на алиэкспрессе и прочих ресурсах, пытается скачать вредонос с сайта "павутина.укр". Подтверждается это выпаданием аналогичных предупреждений при заходе на сайт мегабонус.
По названию сайта-источника делаю вывод что это либо сайт взломали с целью распространения малвари, либо его владельцы сознательно участвуют в информационной войне.
Предполагаю что такой случай далеко не единичный, так что проверяйте свои браузеры и расширения в это неспокойное время.
Как искал: посмотрел в папке C:\Users\юзернейм\AppData\Local\Google\Chrome\User Data\Default\Extensions какие расширения обновлялись за последнюю неделю, и последовательно отключал. На сайт уже потом наткнулся.
Всем добра.
ps. прямые ссылки спецом не публикую, сайт легко ищется в яндексе и кстати имеет синюю галочку, а ссылка на малварь легко собирается из данных со скриншота. Внутренности не исследовал, ибо не имею нужных компетенций, желающие могут проверить сами.
UPD:
должен добавить что 100% уверенности в том что виновен именно этот сайт и это расширение у меня уже нет, написал немного на эмоциях, после чего провел дополнительные проверки с удаленным расширением, и все равно запросы нет-нет, да и проходят к этому зловреду. Но дело в том что пока я не нашел способа как именно идентифицировать, ЧТО именно в хроме пытается обращаться к этому сайту. нетстатом и снифером вижу что это процесс, который в диспетчере задач хрома называется "утилита: network service". Сессия не дохнет пока не закроешь именно этот процесс, все вкладки можно закрыть и все расширения убить. Сам экзешник хрома вирусов не содержит по мнению касперского. Если кто знает способ - просьба поделиться.
пс. тем же каспариком всю систему на всякий случай проверил - вирусов нет, сам хром на вирустотале проверил, тоже чисто, я чет в замешательстве немного.
Информационная безопасность IT
1.5K постов25.6K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.