Более 4 млн пользователей пострадали от вредных расширений для Chrome

Служба новостей Автор статьи

Расширения WeTab, Infinity V+ и ещё несколько популярных инструментов для Chrome оказались в центре крупного инцидента: специалисты по кибербезопасности заявили, что они могли годами скрытно контролировать браузеры пользователей и собирать конфиденциальные данные. Компания KOI сообщила, что жертвами стали около 4,3 млн пользователей Chrome и Microsoft Edge. Особенность атаки заключалась в том, что злоумышленники не применяли фишинг — вредоносный код внедряли через «тихие» обновления уже хорошо известных расширений.

Исследователи связывают кампанию с группой ShadyPanda. Сначала разработчики выпускали обычные рабочие расширения, накапливавшие высокий рейтинг и большое число скачиваний, а позже незаметно добавляли обновления с вредоносными модулями. Магазины браузерных расширений тщательно проверяют продукты только при публикации, поэтому такие изменения могли долго оставаться незамеченными.

В отчёте KOI упоминаются несколько эпизодов активности, включая две кампании 2023 года. В первой десятки расширений, представленных как обои или службы для улучшения работы браузера, тайно отслеживали действия пользователей и подменяли содержимое страниц на популярных сайтах, добавляя партнёрские ссылки и трекеры. Во второй эпизод включено расширение Infinity V+, которое перенаправляло поисковые запросы на сторонние сайты, собирало cookies, фиксировало ввод в поисковой строке и отправляло собранные данные на внешние серверы.

Отдельное внимание уделено «первой стадии» атаки: пять расширений получили бэкдор, позволявший удалённо выполнять код, и таким образом заразили около 300 тысяч пользователей. Некоторые из них существовали с 2018–2019 годов и даже имели пометки «рекомендовано». По данным исследователей, в 2024 году вместе с ростом скачиваний разработчики добавили обновление с вредоносным модулем, который мог запрашивать команды, загружать произвольный JavaScript и внедрять контент на любые сайты, а также собирать историю посещений, рефереры, временные метки, идентификаторы устройств и полный «отпечаток» браузера.

Самым масштабным элементом исследования стала «вторая стадия»: по данным KOI, ещё пять расширений от того же автора попали в магазин Edge и в сумме собрали более 4 млн установок. Два инструмента, как утверждается, могли даже инициировать загрузку вредоносных программ. Наибольшее внимание привлёк WeTab — расширение для страницы новой вкладки, которому приписывают около 3 млн установок и скрытый сбор телеметрии: посещённые сайты, клики, результаты поиска, отпечаток браузера, взаимодействие со страницами и данные о хранилище. Передача информации происходила на множество доменов, а система обновлений позволяла в любой момент превратить заражённые браузеры в управляемые узлы для дальнейших атак.

История показала, насколько уязвима модель доверия к расширениям: даже популярный продукт с большим количеством положительных отзывов может стать опасным после обновления. Пользователям советуют регулярно проверять список установленных расширений, удалять ненужные, следить за выдаваемыми разрешениями и при странном поведении браузера менять пароли и проводить проверку системы, особенно если расширение могло собирать историю посещений или cookies.

Рекомендуем также: