На коробке написано «VPN и защита», внутри — перехват куки, фальшивые DOM-элементы и доступ ко всем вкладкам браузера
Никто не ожидал, что вредонос можно так легко найти в официальном источнике.
С февраля 2024 года в магазине расширений Chrome Web Store распространяются вредоносные браузерные дополнения, маскирующиеся под полезные утилиты, но на деле используемые для кражи данных, перехвата сессий и запуска произвольного кода. Эти дополнения создаются неизвестной группой и нацелены на пользователей, ищущих инструменты для продуктивности, VPN-сервисы, банковские и криптоплатформы, а также средства для анализа и создания медиаконтента.
По информации команды DomainTools Intelligence, злоумышленники создают поддельные сайты, внешне копирующие реальные сервисы, такие как DeepSeek, Manus, DeBank, FortiVPN и Site Stats. Эти страницы перенаправляют пользователей на фальшивые расширения в Chrome Web Store, которые на первый взгляд выполняют обещанные функции. Однако, помимо этого они незаметно воруют куки, логины и пароли, внедряют рекламу, перенаправляют трафик на вредоносные ресурсы и вмешиваются в содержимое веб-страниц с помощью манипуляций DOM.
Опасность усиливается тем, что в файле manifest.json эти расширения прописывают себе чрезмерные привилегии. Это позволяет им получать доступ ко всем сайтам, посещаемым пользователем, загружать произвольный код с удалённых серверов, использовать WebSocket для маршрутизации трафика и даже обходить защиту Content Security Policy через обработчик событий «onreset», встроенный во временные DOM-элементы.
Как пользователи попадают на вредоносные страницы — пока точно не установлено, но предполагается, что применяются стандартные схемы — фишинг, реклама и ссылки в социальных сетях. DomainTools обнаружила, что сайты часто содержат трекеры Facebook*, что может свидетельствовать о продвижении через платформы Meta* — страницы, группы и рекламные кампании.
Несмотря на усилия Google, уже удалившей вредоносные расширения из своего магазина, у киберпреступников остаётся обширная инфраструктура: более 100 поддельных сайтов и связанных с ними дополнений. Благодаря наличию сайтов и размещению в официальном магазине расширений, злоумышленникам удаётся появляться в результатах поиска как в интернете, так и внутри самого Chrome Web Store, создавая иллюзию легитимности.
Пользователям рекомендуется загружать дополнения только от проверенных разработчиков, внимательно читать отзывы, анализировать запрашиваемые разрешения и избегать расширений, название или логотип которых напоминает популярные продукты, но имеет отличия в мелочах.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.