Среди угроз, связанных с использованием браузера Google Chrome, обнаружена масштабная кампания по распространению вредоносных расширений. Согласно данным аналитической платформы DomainTools Intelligence, с февраля 2024 года злоумышленник создал более ста поддельных сайтов и расширений, маскирующихся под популярные полезные инструменты, пишет источник.
Эти расширения выглядели как легитимные приложения для повышения продуктивности, VPN-сервисы, криптовалютные платформы или банковские утилиты, что вводило пользователей в заблуждение и привлекало к загрузке вредоносного программного обеспечения. Вначале они имитировали функциональность заявленных сервисов и проходили модерацию в Chrome Web Store.
Однако по мере установки такие расширения начинали выполнять скрытые операции, связанные с кражей учетных данных и файлов cookie, похищением сессий, внедрением навязчивой рекламы и перенаправлением на фишинговые страницы. Они могли манипулировать трафиком, а также использовать расширенные права доступа для взаимодействия с любыми сайтами, запускать произвольный код и внедрять вредоносные скрипты.
Особенностью злоумышленников было использование обработчика onreset на DOM-элементах для обхода политик безопасности контента и уклонения от обнаружения. Распространялось множество имитированных сервисов, таких как DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки расширения собирали cookie, загружали скрипты с серверов злоумышленников и организовывали WebSocket-соединения для маршрутизации трафика.
Механизмы перенаправления на фишинговые страницы до сих пор изучаются, однако эксперты предполагают использование социальной инженерии и продвижения через социальные сети, в частности, Facebook**. Поддельные сайты могли использовать идентификаторы Facebook ID**, привлекая пользователей через группы, страницы или рекламу Meta*. Google уже приняла меры, удалив опасные расширения из магазина.
Для защиты рекомендуется устанавливать расширения только от проверенных разработчиков, внимательно изучать запрашиваемые разрешения и отзывы пользователей. Следует избегать сомнительных предложений, особенно похожих на популярные сервисы, поскольку по оценкам аналитиков, некоторые поддельные расширения искусственно накручивали оценки, скрывали негативные отзывы и перенаправляли пользователей на фальшивые формы обратной связи. В условиях продолжающегося расследования личности злоумышленников и механизмов распространения угроз остаются неясными.
Meta* — признана экстремистской и запрещенной организацией на территории РФ.
Facebook** — является продуктом Meta*, признанной экстремисткой и запрещеннной организацией на территории РФ.