Chrome Web Store的三个恶意VPN扩展在被Google删除前感染了150万台设备

在Chrome浏览器网络商店中，恶意浏览器扩展仍然是个问题，但近年来Google一直在积极努力，试图让Chrome浏览器用户的生活更安全。该公司经常删除其商店中的恶意扩展，现在已经删除了三个冒充VPN的危险附加组件。

ReasonLabs公司的网络安全研究人员发现了这些假冒的 VPN 扩展程序，他们称这些恶意软件是通过热门视频游戏（如《侠盗猎车手》、《模拟人生 4》、《Heroes 3》和《刺客信条》）的下载分发的。据报道，这些特洛伊木马安装程序是Electron应用程序，大小在60MB到100MB之间，被发现存在于1000多个不同的torrent文件中。

一旦文件下载到电脑上，VPN扩展程序就会自动安装到系统上，用户无需进行任何操作。据报道，安装程序还会检查受感染设备上的反恶意软件，然后强行安装至少三种假冒VPN扩展程序中的一种。这三个扩展中最受欢迎的是netPlus，它拥有超过100万用户，另外两个是netSave和netWin，它们的安装量也达到了50万次。

这些恶意扩展程序的开发者竭力将它们描绘成真实的，提供了一些实际的VPN功能以及付费订阅层级，让它们乍一看像是真的。然而，这三个扩展都滥用了"离屏"权限，使它们能够通过离屏API运行脚本，全面访问网页的当前DOM（文档对象模型），从而窃取敏感的用户数据。

这些扩展程序还能劫持浏览器、操纵网络请求，甚至自动禁用其他扩展程序。根据报告，该恶意软件禁用了受感染计算机上的现金返还扩展，并将利润重定向给犯罪分子。据报道，该恶意软件针对的是100多个合法的现金返还扩展，包括 Avast SafePrice、AVG SafePrice、Honey：Automatic Coupons & Rewards、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper和Backlit。

在ReasonLabs联系Google之后，Google已经从Chrome浏览器网络商店中删除了所有这三个扩展，但在此之前，它们已经感染了大约150万台设备。虽然这些扩展已成为历史，但它们不可能是Chrome浏览器网络商店中的最后一批恶意软件，因此人们必须对自己设备上安装的内容保持警惕。