В браузере Google Chrome выявлена масштабная кампания по распространению вредоносных расширений. Согласно данным аналитической платформы DomainTools Intelligence, с начала 2024 года злоумышленники создали более сотни поддельных сайтов и расширений, маскирующихся под популярные и полезные инструменты.
Эти расширения представлялись как легитимные приложения для повышения продуктивности, VPN-сервисы, криптовалютные платформы или банковские утилиты, заманивая пользователей к их установке. Изначально они имитировали работу заявленных сервисов и успешно проходили модерацию в Chrome Web Store.
После установки такие расширения тайно похищали учетные данные, файлы cookie, сессии, навязывали рекламу и перенаправляли пользователей на фишинговые страницы. Они манипулировали трафиком и, обладая расширенными правами доступа, взаимодействовали с любыми сайтами, запускали произвольный код и внедряли вредоносные скрипты.
Злоумышленники использовали обработчик onreset на DOM-элементах для обхода политики безопасности контента и сокрытия своих действий. Среди имитируемых сервисов оказались DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки расширения собирали cookie, загружали скрипты с серверов злоумышленников и устанавливали WebSocket-соединения для маршрутизации трафика.
Механизмы перенаправления на фишинговые страницы еще изучаются экспертами, однако предполагается использование социальной инженерии и продвижения через соцсети, особенно Facebook. Поддельные сайты могли привлекать пользователей через группы, страницы или рекламу Meta*. Google уже удалил эти опасные расширения из магазина.
Для защиты рекомендуется:
- Устанавливать расширения только из проверенных источников.
- Внимательно проверять запрашиваемые разрешения и отзывы других пользователей.
- Не доверять сомнительным предложениям, особенно тем, что имитируют популярные сервисы.
- Помнить о том, что злоумышленники накручивают оценки, скрывают негативные отзывы и перенаправляют на фальшивые формы обратной связи.
Личности злоумышленников и детали распространения угроз пока не установлены.