Эксперты компании Secure Annex выявили масштабную угрозу безопасности пользователей Chrome — 57 вредоносных расширений, установленных более чем 6 миллионами пользователей. Расширения обладают возможностями для слежки за активностью в браузере, доступа к файлам cookie и выполнения удаленного кода.
Механизм распространения и особенности вредоносных расширений
Особую опасность представляет «скрытый» характер обнаруженных расширений — они недоступны через поиск в Chrome Web Store и не индексируются поисковыми системами. Установка возможна только при наличии прямой ссылки, что затрудняет их обнаружение системами безопасности. Злоумышленники активно продвигают расширения через рекламные кампании и вредоносные веб-сайты.
Технический анализ угрозы
Исследование началось после обнаружения подозрительного расширения Fire Shield Extension Protection. Анализ показал наличие сильно обфусцированного кода и использование API-callbacks для экcфильтрации данных. Через связанный домен unknow[.]com были выявлены десятки других расширений с аналогичным вредоносным функционалом.
Основные возможности вредоносных расширений:
— Отслеживание поведения пользователя в браузере
— Доступ к данным cookie всех доменов
— Выполнение удаленных JavaScript-скриптов
— Сбор статистики посещаемых сайтов
— Мониторинг открытия/закрытия вкладок
Масштаб угрозы и реакция Google
Особую обеспокоенность вызывает тот факт, что 10 из обнаруженных расширений имели статус «Featured» в Chrome Web Store, что предполагает проверку разработчиков со стороны Google. После публикации отчета часть расширений была удалена из магазина, однако некоторые все еще остаются доступными для установки. Google подтвердила проведение расследования инцидента.
Специалисты по кибербезопасности настоятельно рекомендуют пользователям немедленно удалить подозрительные расширения и сменить пароли от всех онлайн-аккаунтов в качестве меры предосторожности. Данный инцидент подчеркивает важность тщательной проверки устанавливаемых браузерных дополнений и регулярного аудита их прав доступа.
