Исследователи компании Socket выявили кластер из 152 расширений Google Chrome, которые позиционировались как живые обои и темы для новых вкладок, но в действительности представляли собой рекламное ПО с функциями фальсификации трафика. По данным исследователей, расширения были распределены по 38 учётным записям издателей в Chrome Web Store и суммарно установлены около 105 000 раз. Пользователям, установившим любое из этих расширений, рекомендуется немедленно удалить его и проверить настройки конфиденциальности браузера.
Масштаб и инфраструктура кампании
Как сообщается, вся сеть расширений опирается на три бэкенд-домена: tabplugins[.]com, yowgames[.]com и chromewallpaper[.]com. Расширения эксплуатируют популярные тематики — аниме-персонажи (Satoru Gojo, Tanjiro, Zenitsu Agatsuma), видеоигры (Minecraft, Sonic Frontiers, Ghost of Tsushima), спортивные автомобили (Porsche 911, BMW M3), футболисты (Neymar) и популярные мультперсонажи (Hello Kitty, Pusheen Cat). Такой широкий охват тематик направлен на привлечение максимально разнородной аудитории.
Использование 38 отдельных издательских аккаунтов — характерный приём для обхода модерации Chrome Web Store: удаление одного аккаунта не затрагивает остальные, что обеспечивает устойчивость всей операции.
Технический анализ вредоносного поведения
Ложные заявления о конфиденциальности
По данным исследователя Socket Куша Пандьи, каждое расширение в листинге Chrome Web Store декларировало, что не собирает и не использует данные пользователей. Однако связанные политики конфиденциальности, как сообщается, содержали прямо противоположные утверждения: расширения регистрируют IP-адреса, данные интернет-провайдера, количество кликов и реферреры, а затем передают эту информацию Google AdSense, DoubleClick и сторонним рекламным партнёрам.
Фальсификация органического трафика
Наиболее технически примечательный аспект кампании — механизм подделки атрибуции трафика. В подкластере расширений обнаружен JavaScript-файл js/bg.js, содержащий два жёстко закодированных URL, активирующихся при установке и удалении расширения:
- URL установки содержит UTM-параметры вида
utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper. При установке расширение открывает вкладку, которая маркируется как переход из органической выдачи Google — хотя пользователь никакого поиска не выполнял. - URL удаления использует обёртку перенаправления
google.com/urlс подписанными токенамиvedиusg— точно в том формате, который Google применяет для реальных кликов из поисковой выдачи. Это маскирует событие удаления под обычный клик пользователя по результату поиска.
Суть схемы — искусственное создание сигналов органического трафика. Рекламные системы и аналитические платформы воспринимают эти визиты как настоящие переходы из поиска, что позволяет операторам кампании монетизировать фальсифицированный трафик через партнёрские рекламные программы.
Скрытая функциональность удаления данных
Исследователи также обнаружили в JavaScript-коде расширений неактивную (dormant) функцию, способную перечислять и удалять все базы данных IndexedDB при запуске сервис-воркера. На момент анализа эта возможность не была активирована, однако её наличие указывает на потенциал для более деструктивных действий — от уничтожения данных веб-приложений до сокрытия следов вредоносной активности.
Оценка воздействия
Socket классифицирует операцию как финансово мотивированную коммерческую кампанию по распространению рекламного ПО и мошенничеству с атрибуцией трафика. Непосредственные риски для пользователей включают:
- Утечка данных о поведении в сети — IP-адреса, информация о провайдере, паттерны кликов и реферреры передаются третьим сторонам без информированного согласия.
- Искажение рекламных метрик — фальсификация органического трафика наносит ущерб рекламодателям, оплачивающим показы и клики.
- Потенциальная эскалация — наличие неактивной функции удаления IndexedDB означает, что операторы могут в любой момент активировать деструктивное поведение через обновление расширения.
Стоит отметить, что данные о кампании получены из единственного исследовательского источника. Официального подтверждения от Google относительно количества расширений, числа установок или принятых мер на момент публикации не поступало.
Рекомендации
Для индивидуальных пользователей:
- Проверьте список установленных расширений Chrome (
chrome://extensions) на наличие любых расширений с тематикой живых обоев, особенно связанных с доменами tabplugins[.]com, yowgames[.]com или chromewallpaper[.]com. - Удалите подозрительные расширения и очистите данные браузера, включая файлы cookie и кэш.
- Перед установкой расширений сверяйте заявления в листинге Chrome Web Store с фактическим текстом политики конфиденциальности — расхождения являются прямым индикатором недобросовестности.
Для организаций:
- Используйте групповые политики Chrome Enterprise для ограничения установки расширений белым списком или блокировки расширений по идентификаторам.
- Добавьте указанные домены (tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com) в списки блокировки на уровне DNS или прокси-сервера.
- Проведите аудит расширений на рабочих станциях сотрудников — расширения с разрешениями на управление вкладками и доступ к данным просмотра требуют особого внимания.
Данный случай демонстрирует системную проблему модерации Chrome Web Store: распределение вредоносных расширений по десяткам издательских аккаунтов позволяет обходить автоматические проверки. Единственная надёжная защита на стороне пользователя — минимизация количества установленных расширений и регулярный аудит их разрешений, а для организаций — принудительное управление расширениями через политики браузера.
