Масштабна кампанія зловмисників продемонструвала, наскільки вразливим може бути навіть офіційний Chrome Web Store. Дослідники компанії Socket виявили 108 розширень для Google Chrome, які збирають дані користувачів, викрадають облікові записи та приховано керують браузером, підміняючи вміст відвідуваних сайтів і впроваджуючи довільний JavaScript-код.
Шкідливі розширення Google Chrome: масштаби кампанії та інфраструктура C2
Всі виявлені шкідливі розширення публікувалися в Chrome Web Store під п’ятьма різними «розробниками»: Yana Project, GameGen, SideGames, Rodeo Games та InterAlt. За оцінкою Socket, загалом вони набрали близько 20 000 інсталяцій. Це не глобальна епідемія, але для цілеспрямованих атак і викрадення акаунтів такої кількості більш ніж достатньо.
Усі доповнення під’єднуються до спільної командно-контрольної інфраструктури (C2), розташованої за IP-адресою 144.126.135[.]238. Аналіз коду вказав на коментарі російською мовою, однак конкретні оператори кампанії поки що не ідентифіковані. Об’єднана C2-платформа дає зловмисникам змогу централізовано керувати поведінкою розширень та оперативно змінювати сценарії атак.
Як працюють шкідливі розширення Chrome: викрадення токенів та приховані бекдори
Компрометація акаунтів Google через OAuth2
За даними Socket, 54 із 108 розширень орієнтовані на викрадення даних облікового запису Google через механізм OAuth2. Замість того, щоб отримувати логін і пароль, зловмисники націлюються на токени доступу та ідентифікатори сесій. Саме ці токени дозволяють сервісам «пам’ятати» авторизованого користувача, і при їх компрометації атакувальник може обходити класичну аутентифікацію.
Фактично, маючи такий токен, зловмисник отримує можливість діяти від імені користувача: переглядати дані акаунта Google, потенційно отримувати доступ до пов’язаних сервісів (Gmail, Drive тощо) та розширювати атаку, наприклад, через скидання паролів або підміну налаштувань безпеки.
Бекдори для відкриття довільних URL і масштабування атак
Ще 45 розширень містять універсальний бекдор, який під час запуску браузера автоматично відкриває довільні URL-адреси, вказані операторами C2-сервера. Це створює широкий спектр можливостей для атак, серед яких:
— перенаправлення користувача на фішингові сторінки, стилізовані під Google, Telegram або інші популярні сервіси;
— завантаження додаткових скриптів для поглибленої компрометації системи;
— запуск масштабних рекламних та шахрайських кампаній із високою автоматизацією.
Інші виявлені розширення виконують ін’єкцію довільного JavaScript-коду у вміст сторінок, модифікують мережеві запити браузера та можуть змінювати відображення сайтів без будь-яких помітних ознак для користувача.
Маскування під корисні інструменти: Telegram, YouTube, ігри та утиліти
Щоб здобути довіру користувачів, зловмисники маскують шкідливі розширення під популярні інструменти. Серед них:
— бокові клієнти Telegram Web для доступу до месенджера в окремій панелі;
— ігрові доповнення (слот-машини, Keno та інші азартні ігри);
— «покращувачі» YouTube і TikTok з обіцянками розширених функцій;
— перекладачі тексту та інші «утиліти сторінки».
Оголошений функціонал виглядає безпечним, однак усі ці доповнення підключені до спільної шкідливої інфраструктури та виконують невидимий для користувача фоновий код. У результаті розширення можуть перехоплювати сесії Telegram Web, змінювати вміст сторінок, збирати історію переглядів і здійснювати постійний моніторинг активності в браузері.
Обхід політик безпеки: declarativeNetRequest та видалення HTTP-заголовків
Окрему категорію становлять п’ять розширень, які використовують API Chrome declarativeNetRequest для видалення критично важливих HTTP-заголовків безпеки до завантаження сторінки. Ідеться, зокрема, про Content-Security-Policy (CSP), X-Frame-Options та подібні заголовки, що зазвичай обмежують виконання стороннього коду та вбудовування сторінок у фрейми.
Позбавляючи браузер цих заголовків, шкідливі розширення розширюють можливості атакувальників: спрощують ін’єкцію скриптів, допомагають обійти політики безпеки та будувати складні ланцюжки атак безпосередньо на рівні браузера. Візуально користувач бачить «звичайний» сайт і не має підстав підозрювати підміну.
Кому загрожують шкідливі розширення Chrome і які дані під прицілом
Найбільша небезпека подібних кампаній у тому, що шкідливі розширення працюють всередині довіреного середовища браузера. Вони отримують доступ до:
— історії переглядів та поведінки на сайтах;
— cookies і сесійних даних;
— OAuth-токенів та інших елементів аутентифікації;
— вмісту відкритих вкладок, включно з веб-версіями месенджерів.
Комбінація викрадення облікових записів Google, перехоплення сесій Telegram Web і підміни веб-сторінок дає змогу зловмисникам захоплювати акаунти, проводити фішингові та соціально-інженерні атаки, поширювати шкідливий контент і використовувати скомпрометовані профілі для подальших атак. Установлення розширень із офіційного магазину часто створює хибне відчуття безпеки, хоча практика показує, що шкідливі доповнення все ж проходять модерацію.
Кібербезпека браузера: як перевірити розширення Chrome і захистити акаунти
Socket рекомендує всім, хто встановлював розширення від Yana Project, GameGen, SideGames, Rodeo Games або InterAlt, негайно видалити їх із браузера. Користувачам Telegram варто вийти з усіх веб-сесій у мобільному застосунку (розділ «Пристрої»), щоб анулювати можливі скомпрометовані сесії.
Для підвищення рівня безпеки браузера та облікових записів доцільно дотримуватися таких практик:
— регулярно переглядати список встановлених розширень і видаляти все зайве або незрозуміле;
— встановлювати доповнення лише від розробників із прозорою репутацією та великою кількістю перевірених відгуків;
— уважно аналізувати права доступу: дозвіл «читати й змінювати всі ваші дані на відвідуваних сайтах» потребує особливо критичного підходу;
— увімкнути та використовувати двохфакторну аутентифікацію (2FA) для Google, Telegram та інших ключових сервісів;
— своєчасно оновлювати браузер і розширення;
— періодично перевіряти активні сесії у Google, Telegram та інших критичних облікових записах.
Інцидент із 108 шкідливими розширеннями Google Chrome ще раз демонструє: браузер є повноцінною точкою атаки, а офіційні магазини не гарантують абсолютної безпеки. Варто мінімізувати кількість встановлених доповнень, надавати їм лише необхідні права та регулярно проводити «гігієну браузера». Почніть із власного аудиту розширень уже сьогодні — це один із найпростіших кроків, який суттєво знижує ризик викрадення даних і захоплення ваших облікових записів.
