Согласно информации от аналитической платформы DomainTools Intelligence (DTI), в сети была выявлена масштабная кампания по распространению вредоносных расширений для браузера Google Chrome. Неизвестный злоумышленник с февраля 2024 года создал более ста поддельных сайтов и расширений, которые маскируются под полезные инструменты.
Эти ресурсы имитируют популярные сервисы, такие как утилиты для повышения продуктивности, рекламные помощники, VPN-сервисы, платформы для криптовалют и банковские приложения, что привлекает пользователей к загрузке вредоносного ПО.
Расширения, размещенные в Chrome Web Store, на первый взгляд, соответствовали заявленному функционалу, но на самом деле скрывали возможность кражи учетных данных, файлов cookie, похищения сессий, внедрения рекламы и перенаправления пользователей на фишинговые страницы. Они также могли манипулировать трафиком и осуществлять фишинг через изменения в DOM (Document Object Model). Основной уловкой злоумышленников стали чрезмерные права доступа, запрашиваемые в файле manifest.json, что позволяло расширениям взаимодействовать с любыми сайтами, запускать произвольный код и встраивать вредоносную рекламу.
Кроме того, вредоносные расширения используют обработчик событий onreset на временном DOM-элементе для выполнения скрытого кода, вероятно, чтобы обойти политики безопасности контента (CSP). Среди имитируемых сервисов оказались DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После установки такие расширения могли собирать cookie, загружать скрипты с удаленных серверов и устанавливать WebSocket-соединения, действуя как прокси для маршрутизации сетевого трафика.
Хотя точные методы перенаправления пользователей на фишинговые страницы остаются неизвестными, эксперты предполагают, что злоумышленники используют стандартные методы социальной инженерии и фишинга через социальные сети. Замечено, что многие поддельные сайты используют Facebook ID, что указывает на возможное привлечение через страницы и группы Meta* или через рекламу. Google уже приняла меры, удалив вредоносные расширения из своего магазина.
Для вашей безопасности рекомендуется устанавливать расширения только от проверенных разработчиков, внимательно проверять запрашиваемые разрешения, читать отзывы и избегать установок, имитирующих популярные сервисы. Не забывайте, что рейтинги таких расширений могут быть искусственно завышены, а негативные отзывы часто скрываются или фильтруются. Анализ DTI показывает, что некоторые расширения, имитирующие легитимные сервисы, перенаправляли пользователей с низкими оценками (1–3 звезды) на фальшивые формы обратной связи, в то время как пользователи с высокими оценками (4–5 звезд) попадали на отзывы в магазине Chrome.
Расследование продолжается, и личности злоумышленников пока не установлены.
*Meta — признана экстремистской и запрещенной организацией на территории РФ.
**Facebook — является продуктом Meta, признанной экстремистской и запрещенной организацией на территории РФ.