Ваше любимое расширение теперь работает на хакеров. Но Google настойчиво продолжает его рекомендовать

Расширение для браузера Chrome под названием ShotBird, которое долгое время считалось легитимным инструментом для создания скриншотов и работы с изображениями, превратилось в канал распространения вредоносного кода.

Недавний анализ monxresearch-sec показал, что после смены владельца разработчики встроили в обновлённую версию механизм удалённого управления, позволявший атакующим внедрять вредоносные сценарии, перехватывать данные форм и подталкивать пользователей к запуску заражённых файлов.

ShotBird появился в конце 2024 года и вскоре попал в список рекомендованных расширений Chrome Web Store. До декабря 2025 года в карточке продукта указывался разработчик Акшай Ану. Позднее контакт изменился на адрес Лоры Прайс, после чего функциональность расширения резко изменилась. К марту 2026 года после публикации отчёта страница расширения в магазине Chrome стала недоступной.

Проверка показала, что вредоносная версия связывалась с управляющими серверами и регулярно получала задания в виде JavaScript-кода. Эти сценарии внедрялись прямо в просматриваемые страницы. Вредоносные функции позволяли отправлять на сервер адреса посещённых сайтов и метаданные страниц, внедрять на сайты фальшивые уведомления о необходимости обновить Chrome, а также перехватывать вводимые в формы данные. Сценарии отслеживали поля с паролями, банковскими реквизитами, кодами подтверждения и другими конфиденциальными данными, после чего направляли информацию на серверы злоумышленников.

Отдельный механизм отключал защитные заголовки браузера, включая Content-Security-Policy и X-Frame-Options. Благодаря этому внедрённые скрипты могли выполняться даже на страницах, где подобные действия обычно блокируются.

Атака не ограничивалась браузером. В некоторых сценариях пользователю показывали ложное окно обновления Chrome. После нажатия кнопки загружался файл googleupdate.exe. Анализ показал, что внутри находился установщик Chrome с действующей подписью Google и дополнительный пакет psfx.msi. Последний запускал обфусцированную команду PowerShell, которая загружала следующий этап вредоносного кода с домена orangewater00.com.

Журналы PowerShell на заражённой системе подтвердили выполнение второго этапа. Загруженный сценарий отключал трассировку событий PowerShell, получал доступ к диспетчеру учётных данных Windows и собирал данные из браузеров на базе Chromium, включая файлы Login Data и Web Data. Также код содержал функции отправки похищенной информации на удалённые серверы.

Инфраструктура кампании включала несколько доменов, среди которых api.getextensionanalytics.top, ggl.lat и baysideceu.com. Архитектура серверов управления и структура API совпадают с другой кампанией, о которой ранее сообщала компания Annex Security при расследовании заражённого расширения QuickLens. Оба случая объединяет одинаковая схема: изначально легитимное расширение продают новым владельцам, после чего обновления превращают продукт в инструмент атаки.

Специалисты передали информацию о кампании команде Google и в систему Safe Browsing 7 и 8 марта 2026 года. После публикации отчёта расширение ShotBird исчезло из Chrome Web Store, однако следы инфраструктуры и связанные домены продолжают работать, что указывает на возможное существование других заражённых расширений.