Очередное вредоносное расширение Chrome под названием Shampoo обнаружили исследователи безопасности HP Wolf Security. Оно распространяется через фейковые сайты, на которых якобы предлагается пиратский контент, а после установки крадёт конфиденциальные данные, перенаправляет пользователей на другие сайты и внедряет рекламу в браузер.
Специалисты утверждают, что механизм распространения Shampoo похож на кампанию ChromeLoader, обе версии вредоноса имеют похожий код и функции монетизации рекламы. Однако новое расширение сложнее удалить из системы. Дело в том, что Shampoo закрепляется в системе с помощью планировщика задач браузера, что позволяет ему повторно запускать себя каждые 50 минут. Таким образом, он всегда остаётся активным, даже если пользователь или антивирусное ПО завершают работу скрипта. Расширение содержит множество средств защиты от отладки и анализа. Судя по всему, его создатель постарался сделать своё творение труднообнаруживаемым.
Помимо уже указанных действий, Shampoo отключает поисковые подсказки в адресной строке, перенаправляет поисковые запросы Google, Yahoo и Bing на C2-сервер. Удалить просто так расширение нельзя, поскольку оно перенаправляет с пути chrome://extensions на chrome://settings. В добавок, отменяет добавление заданий в планировщике с префиксом «chrome_».
Для того, чтобы не стать жертвой Shampoo, стоит избегать подозрительных сайтов с пиратским и другим нелегальным контентом, блокировать файлы от неизвестных источников.
