Chrome Web Store的三個惡意VPN擴展在被Google刪除前感染了150萬臺設備

在Chrome瀏覽器網絡商店中，惡意瀏覽器擴展仍然是個問題，但近年來Google一直在積極努力，試圖讓Chrome瀏覽器用戶的生活更安全。該公司經常刪除其商店中的惡意擴展，現在已經刪除了三個冒充VPN的危險附加組件。

ReasonLabs公司的網絡安全研究人員發現了這些假冒的 VPN 擴展程序，他們稱這些惡意軟件是通過熱門視頻游戲（如《俠盜獵車手》、《模擬人生 4》、《Heroes 3》和《刺客信條》）的下載分發的。據報道，這些特洛伊木馬安裝程序是Electron應用程序，大小在60MB到100MB之間，被發現存在于1000多個不同的torrent文件中。

一旦文件下載到電腦上，VPN擴展程序就會自動安裝到系統上，用戶無需進行任何操作。據報道，安裝程序還會檢查受感染設備上的反惡意軟件，然后強行安裝至少三種假冒VPN擴展程序中的一種。這三個擴展中最受歡迎的是netPlus，它擁有超過100萬用戶，另外兩個是netSave和netWin，它們的安裝量也達到了50萬次。

這些惡意擴展程序的開發者竭力將它們描繪成真實的，提供了一些實際的VPN功能以及付費訂閱層級，讓它們乍一看像是真的。然而，這三個擴展都濫用了"離屏"權限，使它們能夠通過離屏API運行腳本，全面訪問網頁的當前DOM（文檔對象模型），從而竊取敏感的用戶數據。

這些擴展程序還能劫持瀏覽器、操縱網絡請求，甚至自動禁用其他擴展程序。根據報告，該惡意軟件禁用了受感染計算機上的現金返還擴展，并將利潤重定向給犯罪分子。據報道，該惡意軟件針對的是100多個合法的現金返還擴展，包括 Avast SafePrice、AVG SafePrice、Honey：Automatic Coupons & Rewards、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper和Backlit。

在ReasonLabs聯系Google之后，Google已經從Chrome瀏覽器網絡商店中刪除了所有這三個擴展，但在此之前，它們已經感染了大約150萬臺設備。雖然這些擴展已成為歷史，但它們不可能是Chrome瀏覽器網絡商店中的最后一批惡意軟件，因此人們必須對自己設備上安裝的內容保持警惕。