Команда дослідників DomainTools Intelligence (DTI) виявила масштабну кіберзагрозу в офіційному магазині розширень Chrome Web Store. Зловмисники розгорнули мережу з понад 100 шкідливих розширень, які маскуються під популярні сервіси, включаючи VPN-клієнти, AI-інструменти та криптовалютні додатки.
Складна схема поширення шкідливого програмного забезпечення
З початку лютого 2024 року кіберзлочинці розгорнули мережу фальшивих веб-ресурсів, що імітують відомі сервіси DeepSeek, Manus, DeBank та FortiVPN. Особливу небезпеку становить те, що встановлені розширення дійсно забезпечують заявлену функціональність, приховуючи при цьому шкідливу активність. Це суттєво ускладнює виявлення загрози користувачами.
Технічний аналіз шкідливого коду
Дослідження виявило комплексний функціонал шкідливого програмного забезпечення, що включає:
- Несанкціоноване збирання користувацьких даних та файлів cookie
- Встановлення прихованих WebSocket-з’єднань для перехоплення трафіку
- Виконання довільного коду з віддалених серверів управління
- Маніпуляції з DOM-структурою для реалізації фішингових атак
Методи обходу систем захисту
Зловмисники застосовують передові техніки для обходу вбудованих механізмів безпеки Chrome. Особливу увагу привертає експлуатація обробника подій onreset у DOM для подолання політики безпеки контенту (CSP). Через модифікований manifest.json розширення отримують надмірні привілеї для контролю користувацького трафіку.
Соціальна інженерія у поширенні загроз
Аналітики виявили активне використання соціальних мереж для розповсюдження шкідливих розширень. Наявність Facebook-трекерів на сайтах-приманках вказує на застосування таргетованої реклами та спеціалізованих груп для залучення потенційних жертв.
Хоча команда безпеки Google оперативно видалила більшість виявлених шкідливих розширень, користувачам рекомендується дотримуватися підвищеної пильності. Експерти радять регулярно проводити аудит встановлених розширень, видаляти невикористовувані додатки та ретельно аналізувати запитувані дозволи перед встановленням нових розширень. Додатково рекомендується використовувати спеціалізовані інструменти захисту та моніторингу активності браузерних розширень.
