Псевдорасширение Evernote заваливает пользователей Chrome раздражающей рекламой

Эксперты Malwarebytes выявили псевдорасширение Evernote, буквально заваливающее рекламой пользователей Chrome. При этом реклама поступает через внедренный JavaScript буквально в каждую просматриваемую пользователем страницу. Происходит это потому, что псевдорасширение работает на контентном скрипте, контекстно выполняемом на каждой посещенной онлайн-странице. В итоге при посещении любой web-страницы поддельное расширение гарантировано показывает серию сильно мешающих рекламных объявлений. И только настройка ноутбуков от опытного мастера способна избавить пользователя от назойливой рекламы.

Уязвимость была обнаружена в PUP.EXE - расширении, которое отвечало за установку поддельного расширения. Структурно поддельное расширение состоит из трех обфусцированных JavaScript-файлов и одного HTML-файла.

Установка расширения Evernote для Chrome происходит путем обновления настроечного файла (Preferences). При этом псевдорасширение имеет то же имя, что и подлинное - Evernote Web, да к тому же использует одинаковый с настоящим ID «lbfehkoinhhcknnbdgnnmjhiladcgbol». Помимо этого пользователь пройдя по гиперссылке «Visit website», оказывается на настоящем web-сайте Evernote.

Именно поэтому Chrome определяет поддельное Evernote как настоящее. Однако во время запуска фальшивого приложения ничего не показывается, хотя во время запуска настоящего Evernote появляется окно входа в аккаунт Evernote.

Однако удалить поддельный Evernote довольно несложно, для чего нужно только зайти на раздел расширений Chrome, а затем кликнуть по ярлыку корзины, находящемуся рядом с Evernote.