В браузере Google Chrome обнаружена масштабная кампания по распространению вредоносных расширений. По данным аналитической платформы DomainTools Intelligence, с февраля 2024 года злоумышленник создал более сотни поддельных сайтов и расширений, маскирующихся под популярные и полезные инструменты.
Эти расширения выдавали себя за легитимные приложения для продуктивности, VPN-сервисы, криптовалютные платформы или банковские утилиты, привлекая пользователей к установке вредоносного ПО. Сначала они имитировали функциональность заявленных сервисов и успешно проходили модерацию в Chrome Web Store.
После установки расширения начинали скрытно воровать учетные данные и файлы cookie, похищать сессии, навязывать рекламу и перенаправлять на фишинговые страницы. Они манипулировали трафиком и, используя расширенные права доступа, взаимодействовали с любыми сайтами, запускали произвольный код и внедряли вредоносные скрипты.
Злоумышленники использовали обработчик onreset на DOM-элементах, чтобы обойти политику безопасности контента и избежать обнаружения. Среди имитированных сервисов были DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки расширения собирали cookie, загружали скрипты с серверов злоумышленников и устанавливали WebSocket-соединения для маршрутизации трафика.
Механизмы перенаправления на фишинговые страницы еще изучаются, но эксперты предполагают использование социальной инженерии и продвижение через социальные сети, особенно Facebook**. Поддельные сайты могли использовать Facebook ID**, привлекая пользователей через группы, страницы или рекламу Meta*. Google уже удалил опасные расширения из магазина.
Для защиты рекомендуется:
- Устанавливать расширения только от проверенных разработчиков.
- Внимательно изучать запрашиваемые разрешения и отзывы пользователей.
- Избегать сомнительных предложений, особенно тех, что имитируют популярные сервисы.
- Помнить, что злоумышленники накручивают оценки, скрывают негативные отзывы и перенаправляют пользователей на фальшивые формы обратной связи.
Личность злоумышленников и детали распространения угроз пока не установлены, пишет источник.
Meta* — признана экстремистской и запрещенной организацией на территории РФ.
Facebook** — является продуктом Meta*, признанной экстремисткой и запрещеннной организацией на территории РФ.