Специалисты по кибербезопасности из DomainTools Intelligence (DTI) выявили масштабную вредоносную кампанию в Chrome Web Store. Злоумышленники распространяют более 100 вредоносных расширений, маскируя их под популярные сервисы, включая VPN-клиенты, инструменты на базе искусственного интеллекта и криптовалютные утилиты.
Механизм распространения и функционал вредоносных расширений
Начиная с февраля 2024 года, киберпреступники создали сеть поддельных веб-сайтов, имитирующих известные сервисы, такие как DeepSeek, Manus, DeBank и FortiVPN. Эти сайты-приманки направляют пользователей в официальный магазин Chrome Web Store для загрузки вредоносных расширений. Особую опасность представляет тот факт, что расширения действительно обеспечивают заявленную функциональность, маскируя свою вредоносную активность.
Технические особенности и возможности малвари
Исследователи выявили несколько ключевых механизмов работы вредоносного кода:
- Кража файлов cookie и учетных данных пользователей
- Установка WebSocket-соединений для проксирования трафика
- Выполнение произвольного кода с удаленных серверов
- Манипуляции с DOM-структурой для осуществления фишинговых атак
Методы обхода защиты и расширенные привилегии
Злоумышленники используют продвинутые техники для обхода стандартных механизмов защиты браузера. В частности, расширения эксплуатируют обработчик события onreset в DOM для обхода политики безопасности контента (CSP). Через модифицированный manifest.json запрашиваются избыточные разрешения, позволяющие контролировать весь пользовательский трафик.
Каналы распространения вредоносного ПО
Аналитики DTI обнаружили признаки использования социальных сетей для распространения вредоносных расширений. Присутствие Facebook-трекеров на сайтах-приманках указывает на возможное использование таргетированной рекламы и групп в социальных сетях для привлечения потенциальных жертв.
В результате оперативного реагирования команды безопасности Google большинство выявленных вредоносных расширений уже удалено из Chrome Web Store. Однако пользователям рекомендуется проявлять повышенную бдительность при установке браузерных расширений, даже если они размещены в официальном магазине. Специалисты советуют регулярно проверять установленные расширения и удалять неиспользуемые, а также внимательно изучать запрашиваемые разрешения перед установкой.