Захват Chrome: cотни вредоносных расширений украли данные миллионов пользователей

Более 100 поддельных сайтов маскировались под популярные сервисы, чтобы красть данные

Стало известно о масштабной кампании по распространению вредоносных расширений для браузера Chrome. По данным DomainTools Intelligence (DTI), неизвестная группа злоумышленников с февраля 2024 года создала более 100 поддельных сайтов и расширений, маскирующихся под полезные утилиты. Эти сайты имитировали легитимные сервисы, такие как инструменты для повышения продуктивности, помощники для создания и анализа рекламы, VPN-сервисы, криптовалютные платформы и банковские приложения, тем самым привлекая пользователей к установке вредоносного ПО.

Расширения, доступные в Google Chrome Web Store (CWS), на первый взгляд предлагали заявленный функционал, однако скрыто обладали возможностью кражи учётных данных и файлов cookie, угона сессий, внедрения рекламы, вредоносных перенаправлений, манипуляции трафиком и фишинга с использованием манипуляций с DOM (Document Object Model). Ключевым фактором успеха злоумышленников являлось получение расширениями чрезмерных прав доступа, указанных в файле manifest.json. Это позволяло взаимодействовать с каждым посещаемым сайтом, выполнять произвольный код, получаемый с контролируемых злоумышленниками доменов, осуществлять перенаправления и встраивать рекламу.

Более того, расширения использовали обработчик событий onreset на временном DOM-элементе для выполнения кода, вероятно, пытаясь обойти политику безопасности контента (CSP). Среди имитируемых легитимных продуктов и сервисов были DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки, расширения собирали файлы cookie браузера, загружали произвольные скрипты с удалённого сервера и устанавливали WebSocket-соединение, действуя как сетевой прокси для маршрутизации трафика.

Хотя точный механизм перенаправления жертв на фишинговые сайты пока не ясен, DTI предполагает использование стандартных методов, таких как фишинг и социальная инженерия в социальных сетях. Отмечается, что использование Facebook ID на многих поддельных сайтах указывает на вероятное использование Facebookи Meta* приложений для привлечения посетителей, возможно, через страницы, группы и рекламу. Google уже предпринял меры, удалив вредоносные расширения из магазина.

В качестве мер предосторожности пользователям рекомендуется устанавливать расширения только от проверенных разработчиков, тщательно проверять запрашиваемые разрешения, изучать отзывы и избегать расширений, похожих на легитимные. Однако стоит помнить, что рейтинги могут быть искусственно завышены путём фильтрации негативных отзывов. Анализ DomainTools показал, что некоторые расширения, например, имитирующие DeepSeek, перенаправляли пользователей, оставивших низкие оценки (1-3 звезды), на частную форму обратной связи, а пользователей с высокими оценками (4-5 звезд) – на страницу отзывов в официальном магазине Chrome. В настоящее время расследование продолжается, а личность злоумышленников пока не установлена.

* Компания Meta (Facebook и Instagram) признана в России экстремистской и запрещена