Эти расширения в браузере прямо сейчас воруют ваши данные: удалите срочно

Появилась информация о масштабной кампании по распространению вредоносных расширений для браузера Google Chrome. Согласно данным аналитической платформы DomainTools Intelligence (DTI), некий неизвестный злоумышленник с февраля 2024 года создал более ста поддельных сайтов и расширений, маскирующихся под полезные инструменты. Эти сайты имитировали популярные сервисы, такие как утилиты для повышения эффективности, помощники для работы с рекламой, VPN-сервисы, криптовалютные платформы и приложения банковских учреждений, что привлекало пользователей к загрузке вредоносного программного обеспечения, пишет источник.

Расширения, размещённые в Chrome Web Store, на первый взгляд соответствовали заявленному функционалу, однако скрывали возможность кражи учетных данных и файлов cookie, похищения сессий, внедрения рекламы и перенаправления злоумышленников. Они также могли манипулировать трафиком и осуществлять фишинг с помощью изменений DOM (Document Object Model). Главный козырь злоумышленников — чрезмерные права доступа, запрашиваемые в файле manifest.json, что позволяло расширениям взаимодействовать с любыми сайтами, запускать произвольный код и встраивать вредоносную рекламу.

В дополнение, вредоносные расширения используют обработчик событий onreset на временном DOM-элементе для выполнения скрытого кода, скорее всего, чтобы обходить политики безопасности контента (CSP). Среди имитируемых сервисов оказались DeepSeek, Manus, DeBank, FortiVPN, Site Stats. После установки такие расширения могли собирать cookie, загружать скрипты с удалённых серверов и устанавливать WebSocket-соединения, функционируя как прокси для маршрутизации сетевого трафика.

Точные способы перенаправления пользователей на фишинговые страницы остаются неизвестными, однако эксперты предполагают использование стандартных методов социальной инженерии и фишинга через соцсети. Замечено, что многие поддельные сайты используют Facebook ID**, что говорит о вероятном привлечении через страницы и группы Meta* или через рекламу. Google уже приняла меры, удалив вредоносные расширения из магазина.

В целях безопасности рекомендуется устанавливать расширения только от проверенных разработчиков, внимательно проверять запрашиваемые разрешения, читать отзывы и избегать установок, похожих на популярные сервисы. Следует учитывать, что рейтинги таких расширений могут искусственно накручиваться, а негативные отзывы зачастую скрываются или фильтруются. Анализ DTI показывает, что некоторые расширения, имитирующие легитимные сервисы, перенаправляли пользователей с низкими оценками (1–3 звезды) на формы обратной связи или другие фальшивые ресурсы, тогда как пользователи с высокими оценками (4–5 звезд) попадали на отзывы в магазине Chrome.

Расследование инцидента продолжается, а личности злоумышленников пока установить не удалось.

Meta* — признана экстремистской и запрещенной организацией на территории РФ.

Facebook** — является продуктом Meta*, признанной экстремисткой и запрещеннной организацией на территории РФ.