Исследователи в области кибербезопасности обнаружили масштабную кампанию, в рамках которой 108 расширений для Google Chrome используются для сбора пользовательских данных и скрытого управления браузером. Эти дополнения объединены общей командно-контрольной (C2) инфраструктурой и способны подменять содержимое посещаемых сайтов, внедряя рекламный и произвольный JavaScript-код.
Новая волна вредоносных расширений Chrome и кто за ними стоит
По данным компании Socket, выявленные расширения публиковались в официальном Chrome Web Store под пятью различными идентичностями разработчиков: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. Совокупно они набрали порядка 20 000 установок, что делает кампанию заметной, хотя и не массовой в глобальном масштабе.
Все обнаруженные дополнения взаимодействуют с единым backend-сервером, расположенным по IP-адресу 144.126.135[.]238. Анализ исходного кода показывает наличие комментариев на русском языке, что может указывать на происхождение разработчиков, но на текущий момент конкретные операторы кампании не идентифицированы.
Как работают вредоносные расширения: кража учетных данных и скрытые бэкдоры
Кража Google-аккаунтов через OAuth2
Эксперты Socket отмечают, что 54 из 108 расширений ориентированы на кражу идентичности аккаунта Google с использованием механизма OAuth2. Такой подход позволяет злоумышленникам получать доступ к сессиям и данным пользователя, не запрашивая у него напрямую логин и пароль. Фактически, злоумышленник получает токен или связанный идентификатор, который может использоваться для дальнейших атак и обхода стандартной аутентификации.
Универсальный бэкдор и открытие произвольных URL
Еще 45 расширений содержат универсальный бэкдор: при запуске браузера они автоматически открывают произвольные URL-адреса, указанные оператором C2-сервера. Это позволяет злоумышленникам:
— перенаправлять пользователя на фишинговые сайты;
— подгружать дополнительные скрипты для дальнейшей компрометации;
— реализовывать массовые рекламные и мошеннические кампании.
Оставшиеся расширения демонстрируют различные вредоносные сценарии, включая внедрение произвольных скриптов в просматриваемые страницы и манипулирование сетевыми запросами браузера.
Замаскированные под полезные инструменты: от Telegram до YouTube
Для создания видимости легитимности операторы кампании маскируют свои продукты под популярные категории расширений. Среди них:
— боковые клиенты Telegram Web;
— игровые расширения (слот-машины, Keno и другие азартные игры);
— «улучшатели» YouTube и TikTok (расширенные функции, удобство просмотра);
— инструменты перевода текста и различные «утилиты страницы».
Рекламируемый функционал выглядит разнообразно и безобидно, но все эти расширения используют общую вредоносную инфраструктуру и внедряют фоновый код, который пользователь не видит. В результате дополнения получают возможность перехватывать сессионные данные, подменять контент и осуществлять постоянный скрытый мониторинг активности в браузере.
Манипуляция HTTP-заголовками и обход защит браузера
Отдельно исследователи выделяют пять расширений, которые используют API Chrome declarativeNetRequest для удаления важных HTTP-заголовков безопасности с целевых сайтов еще до их загрузки. Речь может идти, например, о заголовках типа Content-Security-Policy (CSP) или X-Frame-Options, которые обычно ограничивают выполнение произвольного кода или встраивание страницы в другие ресурсы.
Удаление таких заголовков расширяет возможности атакующего по внедрению собственных скриптов, обходу политик безопасности и организации цепочки атак уже на уровне браузера. Это делает угрозу особенно значимой, так как пользователь при этом видит «обычную» страницу и не подозревает о вмешательстве.
Кого затрагивает угроза и какие риски создают вредоносные расширения Chrome
Вредоносные расширения Chrome опасны тем, что действуют внутри доверенной среды браузера. Они получают доступ к:
— истории просмотров и активности на сайтах;
— cookies и сессионным данным;
— OAuth-токенам и другим элементам аутентификации;
— содержимому открытых вкладок.
Комбинация кражи учетных данных Google, перехвата сессий Telegram Web и подмены веб-страниц позволяет злоумышленникам:
— захватывать учетные записи и мессенджеры;
— проводить фишинговые и социально-инженерные атаки;
— распространять вредоносный контент и рекламу;
— использовать скомпрометированные профили для дальнейшего распространения атак.
Поскольку расширения устанавливаются из официального магазина, у многих пользователей возникает ложное чувство безопасности. Однако практика показывает, что даже при многоуровневой модерации вредоносные дополнения периодически проходят проверку и попадают к конечным пользователям.
Что делать пользователям: проверка расширений и защита аккаунтов
Socket рекомендует всем, кто установил расширения от указанных издателей, немедленно удалить их из браузера. Дополнительно пользователям Telegram предлагается выйти из всех веб-сессий через мобильное приложение (раздел «Устройства»), чтобы обнулить возможные компрометированные сессии.
Для повышения уровня безопасности браузера и учетных записей целесообразно придерживаться следующих практик:
— регулярно проводить аудит установленных расширений и удалять все ненужные или непонятные;
— устанавливать дополнения только от проверенных разработчиков с прозрачной репутацией;
— обращать внимание на набор запрашиваемых разрешений (доступ к «просмотру и изменению данных на всех посещаемых сайтах» требует особенно критичного подхода);
— включить и использовать двухфакторную аутентификацию (2FA) для аккаунта Google и других сервисов;
— обновлять браузер и расширения до актуальных версий;
— периодически проверять активные сессии в Google, Telegram и других критичных сервисах.
Инцидент с 108 вредоносными расширениями Chrome наглядно показывает, что даже официальные магазины приложений не гарантируют абсолютной безопасности. Пользователям и организациям следует рассматривать браузер как полноценную точку атаки и выстраивать защиту исходя из этого: минимизировать количество дополнений, ограничивать их права и регулярно контролировать установленное ПО. Осознанное отношение к расширениям и базовая гигиена кибербезопасности существенно снижают риск кражи данных и захвата учетных записей.
