Исследователи компании SecurityAnnex обнаружили масштабную схему использования браузерных расширений для незаконного сбора данных. 245 вредоносных расширений для Chrome, Firefox и Edge с общим числом загрузок около 909 000 раз скрытно превращают браузеры пользователей в инструменты для коммерческого скрапинга веб-сайтов.
Механизм работы вредоносной библиотеки MellowTel
Все обнаруженные расширения объединяет использование опенсорсной библиотеки MellowTel-js, которая позиционируется как инструмент монетизации для разработчиков. Под видом полезных функций — управления закладками, буфером обмена, увеличения громкости или генерации случайных чисел — расширения выполняют скрытые операции по сбору данных.
Анализ показал тесные связи между MellowTel и компанией Olostep, которая представляет себя как «самый надежный и экономически эффективный API для скрапинга в мире». Клиенты Olostep, включая ИИ-стартапы, платят за доступ к веб-страницам через географически распределенную сеть зараженных браузеров.
Технические детали атаки и обход защиты
Библиотека MellowTel использует изощренный метод обхода стандартных механизмов безопасности браузеров. После установки расширение активирует веб-сокет, подключающийся к серверу AWS, который собирает информацию о местоположении, пропускной способности и активности пользователей.
Наиболее опасным элементом является внедрение скрытых iframe в просматриваемые страницы. Эти невидимые фреймы подключаются к сайтам из списка, полученного с удаленного сервера, при этом пользователи не могут контролировать, какие ресурсы открываются в их браузере.
Обход заголовков безопасности
Для преодоления защитных механизмов, таких как Content-Security-Policy и X-Frame-Options, библиотека запрашивает разрешения declarativeNetRequest и access. Эти права позволяют динамически изменять веб-запросы и ответы, удаляя заголовки безопасности из ответов веб-сервера.
Такое ослабление защиты создает дополнительные риски для пользователей, включая уязвимости к атакам межсайтового скриптинга (XSS), которые в нормальных условиях блокируются браузерными механизмами безопасности.
Корпоративные риски и текущий статус угрозы
Особую опасность MellowTel представляет для корпоративных сетей, где действуют строгие ограничения на типы исполняемого кода и посещаемые сайты. Скрытое подключение к неизвестным ресурсам может нарушить политики безопасности предприятий и создать векторы для дальнейших атак.
После публикации исследования большинство магазинов расширений начали удалять зараженные плагины. Однако создатель MellowTel Арсиан Али продолжает защищать свою разработку, утверждая, что она предназначена для создания «опенсорсной альтернативы рекламным механизмам».
Защитные меры и рекомендации
Для защиты от подобных угроз пользователям рекомендуется регулярно аудитировать установленные расширения браузеров, обращая внимание на запрашиваемые разрешения. Особую осторожность следует проявлять при установке расширений, требующих доступа к изменению веб-запросов или широкие права доступа к веб-сайтам.
Данный инцидент демонстрирует эволюцию киберугроз и необходимость более строгого контроля за экосистемой браузерных расширений. Пользователи должны понимать, что даже внешне безобидные плагины могут скрывать сложные схемы сбора данных и использования вычислительных ресурсов без согласия владельцев устройств.
