Сотрудники компании FlightSimLabs, специализирующейся на создании дополнений к популярным компьютерным авиасимуляторам, внедрили в программу-установщик вредоносный код, способный воровать из браузера Google Chrome пароли пользователей и пересылать их на сервер компании через незащищенное соединение. Об этом пишет издание Motherboard. В компании этот шаг объяснили борьбой с пиратами.
Первым на странность работы установщика FlightSimLabs обратил внимание пользователь портала Reddit, который заметил, что программа распаковывает на компьютер файл test.exe, который на самом деле является переименованной утилитой Chrome Password Dump, позволяющей извлекать из браузера Google Chrome сохраненные логины и пароли, пишет N+1.
Дискуссия, развернувшаяся на Reddit, заинтересовала специалистов из компании Fidus Information Security, которые выяснили, что вредоносный код также может пересылать пароли на сторонний сервер по незащищенному протоколу HTTP. Кроме того, исследователи выяснили, что в прошлом году служба поддержки FlightSimLabs рекомендовала пользователям отключать антивирус во время установки своих продуктов.
Представители FlightSimLabs вскоре ответили на сообщения о краже паролей. В первом сообщении, опубликованном на форуме компании, говорилось, что ворующий пароли код запускается только в том случае, если пользователь ввел пиратский серийный номер при регистрации своей копии программы. Если же введенный номер корректен, то вредоносный код автоматически удаляется.
Однако через некоторое время в компании изменили эту версию. В новом сообщении утверждается, что код был внедрен в установщик с целью вычислить конкретного пирата, распространяющего нелицензионные копии продуктов компании, и вредоносный код использовался для получения только его данных. В компании принесли извинения пользователям, а вскоре FlightSimLabs обновила установщик, удалив из него вредоносный компонент.
Пока что неизвестно, привела ли странная попытка компании побороть пиратство к массовой утечке паролей. При этом не исключено, что эта история может иметь для FlightSimLabs юридические последствия, поскольку распространение вредоносного ПО и кража данных являются преступлением во многих странах.