Скачали модный ChatGPT-клон из Chrome Store? Поздравляем — все ваши логины и пароли уже на серверах мошенников

Исследователи обнаружили скоординированную кампанию с вредоносными расширениями для Google Chrome, которые выдают себя за ИИ-помощников для пересказа текстов, переписки, написания сообщений и работы с Gmail. На первый взгляд это обычные сервисы с функциями искусственного интеллекта. Но устроены они иначе. Основные функции работают не внутри расширения, а на удаленных серверах, а само дополнение выступает как проводник с широкими правами доступа к возможностям браузера.

Специалисты проанализировали 30 расширений Chrome с разными названиями и идентификаторами. В общей сложности их установили более 260 000 пользователей. Внешне это разные продукты, но внутри у них одна и та же кодовая база, одинаковый набор разрешений и общая серверная инфраструктура. То, как такое расширение ведет себя в работе, зависит не столько от проверки в Chrome Web Store, сколько от того, какой интерфейс и сценарии в конкретный момент подгружает внешний сервер.

Все найденные дополнения оформлены как отдельные инструменты, хотя фактически относятся к одной кампании. Часть из них даже получила отметку Featured в Chrome Web Store, что обычно повышает доверие и видимость в каталоге. Операторы используют схему массовой публикации. Один и тот же продукт выпускают под разными именами. Если одно расширение удаляют, в магазине остаются другие или быстро появляются копии с новым идентификатором. В описаниях фигурируют разные ИИ-бренды, включая Claude, ChatGPT, Gemini и Grok, а также разнообразные помощники для Gmail, но все они подключаются к одной серверной системе.

Механизм работы хорошо виден на примере расширения AI Assistant с идентификатором nlhpidbjmmffhoogcennoiopekbiglbp. Его интерфейс загружается не из локального кода, а через встроенный полноэкранный iframe с домена claude.tapnetic.pro. Этот iframe перекрывает открытую страницу и выглядит как собственное окно расширения. Поскольку содержимое приходит снаружи, оператор может в любой момент поменять внешний вид и логику без обновления в магазине. Новые возможности добавляются незаметно для пользователя.

По командам из этого удаленного интерфейса расширение обращается к текущей вкладке и запускает служебный скрипт, который извлекает текст страницы. Для разбора используется библиотека Readability от Mozilla. Она выделяет заголовок, основной материал, фрагменты текста и метаданные сайта. Затем эти данные отправляются обратно в iframe. В итоге сторонний сервер получает структурированное содержимое любой открытой страницы, в том числе внутренних разделов и панелей, доступных только после входа в аккаунт.

В коде также есть поддержка распознавания речи через Web Speech API. Удаленная страница может запросить запуск голосового ввода, после чего расшифрованный текст уходит на тот же внешний ресурс. Ограничения браузера частично сдерживают такие сценарии, но сама возможность показывает объем доступа, который получает удаленная сторона.

В составе расширений обнаружены и трекинговые пиксели. Они отправляют на сторонний аналитический сервис события установки и удаления. Подобные механизмы обычно используют для учета источников трафика, оценки конверсии и анализа того, как долго пользователь сохраняет дополнение.

Отдельная часть кампании нацелена на Gmail. В нее входят 15 расширений, работающих именно с почтой Google. Названия и оформление различаются, иногда связь с почтой вообще не указана, но код у них одинаковый. В таких дополнениях есть специальный скрипт, который запускается на mail.google.com сразу при открытии страницы. Он добавляет собственные элементы интерфейса и следит за изменениями содержимого через MutationObserver и регулярные проверки.

Этот модуль читает текст писем прямо из DOM-структуры страницы, многократно извлекая переписку через свойство textContent. В данные попадает содержимое цепочек сообщений, а также тексты черновиков и форм создания письма, если они открыты. Когда пользователь запускает функции вроде ИИ-ответа или краткой сводки, собранный текст отправляется на сервер оператора. Таким образом переписка и связанный с ней контекст покидают пределы инфраструктуры Gmail.

Все проанализированные расширения обращаются к домену tapnetic.pro. На нем размещена публичная страница с общими рекламными формулировками, но без рабочих функций, загрузок и сведений о владельцах. По оценке исследователей, сайт нужен для правдоподобного фона, а реальная логика вынесена на поддомены, которые используют сами расширения. Обычно поддомен подбирают под название имитируемого ИИ-сервиса. Такая схема упрощает замену отдельных узлов и снижает эффект от блокировки одного адреса. При этом формат запросов и ответы серверов во всех случаях совпадают, что указывает на единую серверную часть.

Зафиксированы и попытки обхода модерации Chrome Web Store. Одно из расширений кампании с идентификатором fppbiomdkfbhgjjdmojlogeceejinadg удалили из каталога 6 февраля 2025 года. Меньше чем через две недели появилась полная копия под новым именем и идентификатором gghdfkafnhfpaooiolhncejnlgglhkhe с датой публикации 20 февраля. Код, разрешения, схема с iframe и серверные адреса у них совпадают. Такой подход позволяет быстро вернуть продукт в магазин после блокировки.

Исследователи отмечают, что расчет сделан на узнаваемые ИИ-бренды и доверие к ним. Под этим прикрытием распространяются расширения, которые фактически обходят привычную модель безопасности браузера. Полноэкранный удаленный интерфейс вместе с доступом к привилегированным API дает оператору возможность собирать данные, отслеживать действия пользователя и менять поведение инструмента без обновлений. На фоне роста интереса к генеративному ИИ ожидается появление новых кампаний по той же схеме. Дополнения, у которых ключевые функции подгружаются с внешних серверов, требуют отдельного внимания и проверки.