Хакеры "засеяли" Chrome Web Store сотней вредоносных плагинов

В последние месяцы специалисты DomainTools Intelligence (DTI) выявили масштабную атаку с помощью вредоносных расширений для браузера Google Chrome. С февраля 2024 года злоумышленники создали свыше сотни поддельных сайтов и плагинов, выдавая их за полезные инструменты. Фальшивки маскировались под сервисы для повышения продуктивности, рекламных помощников, VPN-сервисов, криптоплатформ и банковских приложений, чтобы побудить пользователей установить заражённое ПО.

Поддельные расширения, находившиеся в официальном каталоге Chrome Web Store, выглядели вполне функциональными, однако в тени они воровали учётные данные и файлы cookie, перехватывали сессии, навязывали рекламу и перенаправляли трафик. Успех операции во многом объясняется тем, что манифесты (manifest.json) предоставляли расширениям избыточные права, позволяя просматривать любые посещённые страницы, загружать и исполнять код с серверов злоумышленников, а также встраивать свои скрипты.

Кроме того, вредоносники применяли хитрую технику обхода политики безопасности контента (CSP), используя обработчик onreset на временных элементах DOM. В числе притворяющихся легальными программ оказались имена DeepSeek, Manus, DeBank, FortiVPN и Site Stats. После инсталляции плагины устанавливают WebSocket-соединение с удалённым сервером, действующему как сетевой прокси, и продолжают собирать cookie браузера.

Точный алгоритм заманивания жертв на фишинговые страницы остаётся не до конца понятным, однако эксперты DTI считают, что злоумышленники задействовали методы социальной инженерии и фишинг, в том числе через Facebook и приложения Meta*. Кроме того, некоторые сайты использовали вход через Facebook ID для привлечения аудитории посредством групп, страниц и рекламы. В ответ Google оперативно удалил выявленные расширения из магазина.

В качестве защиты специалистами рекомендовано устанавливать только те плагины, которые разработаны проверенными авторами, внимательно изучать запрашиваемые разрешения, а также проверять комментарии — однако и здесь следует помнить о возможности накрутки оценок и фильтрации негативных отзывов. Анализ показал, что фальшивки перенаправляли недовольных пользователей на приватную форму обратной связи, а лояльных — на страницу публикации положительного отзыва в магазине. Расследование продолжается, и пока злоумышленники не установлены.