По данным специалистов компании Koi Security, масштабная кампания под названием VK Styles с использованием вредоносных расширений для браузера Chrome затронула около 500 000 пользователей «ВКонтакте». Расширения маскировались под безобидные инструменты кастомизации интерфейса социальной сети, но на самом деле скрытно вмешивались в работу аккаунта, подписывая жертв на определённые сообщества и регулярно сбрасывая пользовательские настройки.
Масштаб кампании VK Styles и цели злоумышленников
Исследователи выявили пять вредоносных расширений Chrome, ориентированных на пользователей «ВКонтакте». Суммарно они были установлены более чем 500 000 раз, причём наиболее популярное расширение, носившее название VK Styles, набрало свыше 400 000 установок. Основной целью кампании было продвижение крупного сообщества VK и создание устойчивой инфраструктуры для дальнейшей монетизации и возможных атак.
В 2024 году одно из таких расширений уже удаляли из Chrome Web Store за нарушение политики площадки. Однако это не остановило оператора кампании: он просто опубликовал новые варианты расширений и продолжил активность. Основной удар пришёлся по русскоязычной аудитории, включая пользователей из Восточной Европы, Центральной Азии и русскоязычные диаспоры в других странах.
Как работало вредоносное расширение для «ВКонтакте»
На уровне описания в Chrome Web Store расширения выглядели вполне легитимно: обещали темы оформления, дополнительные функции и улучшенный интерфейс VK. Однако система оценки рисков Koi Security выявила, что расширение внедряло на каждую открываемую страницу скрипты контекстной рекламы «Яндекса» и сторонний JavaScript-код.
Интересной деталью стало то, что ID счётчика «Яндекс.Метрики» вычислялся динамически (по формуле вида ‘R-A-‘ + 843079 * 2), что усложняло статический анализ и позволяло обходить простые механизмы проверки кода.
Управление малварью через профиль VK и GitHub
Ключевым элементом инфраструктуры стала страница vk[.]com/m0nda, использовавшаяся как замаскированный управляющий сервер (C2). Расширение загружало конфигурацию и дополнительные скрипты из HTML-метатегов этого профиля, где были закодированы ссылки на GitHub и сервисы «Яндекса», откуда подтягивалась основная вредоносная нагрузка.
Анализ показал, что за кампанией, вероятно, стоит злоумышленник под ником 2vk. На его аккаунте GitHub размещён репозиторий с минималистичным названием «-» и файлом «C» — это обфусцированный JavaScript, который внедрялся на каждую страницу «ВКонтакте», посещаемую жертвой. Исследование 17 коммитов с июня 2025 по январь 2026 года продемонстрировало поэтапную эволюцию малвари: от базовой работы с CSRF-cookie до сложных сценариев автоподписки, сброса настроек и взаимодействия с VK Donut API.
Манипуляции аккаунтом: скрытые подписки, сброс настроек и работа с cookie
Одной из ключевых функций кампании VK Styles стала скрытая подписка пользователей на сообщество злоумышленников — группу VK Styles (ID VK -168874636), в которой числится около 1,4 млн участников. При каждом посещении «ВКонтакте» жертвой вредоносный код с вероятностью порядка 75% автоматически подписывал её на это сообщество. Даже после ручной отписки сохранялась примерно такая же вероятность повторной подписки.
Ещё одна функция — регулярное вмешательство в пользовательские настройки. Раз в 30 дней малварь откатывала конфигурацию профиля: меняла сортировку ленты новостей на режим «Недавние», переопределяла кастомные параметры и другие элементы профиля. Таким образом, расширение сохраняло контроль над опытом взаимодействия пользователя с платформой, навязывая нужный сценарий поведения.
Отдельную обеспокоенность у специалистов вызвала способность кода работать с CSRF-cookie «ВКонтакте», в частности с файлом cookie remixsec_redir. Механизм CSRF-токенов защищает аккаунт от выполнения несанкционированных действий от имени пользователя. Получая доступ к этим cookie и потенциально манипулируя ими, злоумышленник может упростить выполнение цепочек запросов, имитирующих легитимные действия в интерфейсе социальной сети.
Монетизация через VK Donut и эффект социального доказательства
Согласно анализу Koi Security, монетизация кампании VK Styles строилась вокруг премиальных функций расширения. Через VK Donut API код проверял, является ли пользователь донатером группы VK Styles, и в зависимости от этого предоставлял либо урезанный, либо полный набор возможностей.
Таким образом, часть пользователей фактически платила за расширение, которое само нарушало безопасность их аккаунта, насильно подписывало на группу и регулярно сбрасывало настройки. Большое число подписчиков (1,4 млн) создаёт мощный эффект социального доказательства: видя популярность сообщества и наличие знакомых среди участников, новые пользователи были склонны доверять расширению и его «функциям кастомизации».
Риски автоматических обновлений расширений Chrome
Одним из ключевых выводов исследователей стало напоминание об опасности автоматических обновлений браузерных расширений. Как только злоумышленник получает значительную базу установок (в данном случае — порядка 500 000 устройств), он может в любой момент поставить более опасную версию кода без какого-либо участия пользователей. Кампания VK Styles, по оценке специалистов, пока ограничивалась манипуляциями аккаунтами, без прямого похищения паролей или персональных данных. Однако сама архитектура атаки и её незаметность на протяжении примерно семи месяцев показывают, что аналогичная схема может быть использована для намного более опасных сценариев.
Ситуация с VK Styles иллюстрирует, насколько уязвима экосистема расширений браузера и как легко злоумышленники могут использовать легитимные платформы (VK, GitHub, рекламные сети) в качестве инфраструктуры управления и доставки малвари. Для рядовых пользователей критично ограничивать количество установленных расширений, обращать внимание на репутацию разработчика, запрашиваемые разрешения и аномальное поведение аккаунта. Организациям имеет смысл внедрять политики whitelist для расширений, использовать корпоративные настройки Chrome и регулярно мониторить инциденты, связанные с работой плагинов.
