С начала 2024 года в официальном каталоге расширений Chrome замечена новая волна атак — под видом инструментов для повышения продуктивности, защиты трафика и работы с криптовалютами злоумышленники распространяют вредоносные дополнения, созданные с целью хищения личных данных. Под ударом оказываются те, кто ищет VPN-сервисы, банковские решения, криптоплатформы или утилиты для обработки медиафайлов. За разработкой этих дополнений стоит неизвестная группировка, действия которой выявила команда DomainTools Intelligence.
Как уточнили специалисты DomainTools, атакующие используют технику подмены доверенных брендов. Они создают клоны популярных сайтов — среди подделок замечены страницы, имитирующие DeepSeek, Manus, DeBank, FortiVPN и Site Stats.
С внешней стороны сайты выглядят достоверно, но фактически они ведут пользователей к вредоносным расширениям в Chrome Web Store. Загруженные через эти страницы дополнения ведут двойную игру — с одной стороны, демонстрируют полезный функционал, а с другой — незаметно встраивают вредоносный код в браузер.
Установленные расширения получают полный доступ к данным браузера: они похищают куки, логины, пароли, внедряют рекламные блоки, перенаправляют пользователя на сомнительные сайты, а также модифицируют содержимое страниц через манипуляции с DOM-структурой. При этом степень вмешательства значительно выше, чем у обычных расширений — причина в том, что в их конфигурационном файле manifest.json указаны завышенные разрешения.
Это даёт доступ ко всем открываемым страницам, позволяет подгружать код с удалённых серверов и использовать WebSocket-соединения для управления трафиком. Более того, задействован обход механизмов защиты Content Security Policy — через нестандартную обработку событий во временных DOM-элементах.
Дополнительную тревогу вызывает способ распространения этих вредоносных расширений. По словам команды DomainTools Intelligence, точный механизм попадания пользователей на фальшивые страницы пока не установлен, но, вероятно, используются классические приёмы: массовые фишинговые рассылки, размещение ссылок в соцсетях, а также продвижение через рекламные сети. Некоторые вредоносные сайты содержат трекеры Facebook*, что может указывать на использование рекламных инструментов Meta* для привлечения трафика — от публикаций в группах до прямой рекламы в ленте.
* Компания Meta и её решения признаны экстремистскими, деятельность корпорации запрещена в России.
Оригинал публикации на сайте CISOCLUB: "Хакеры используют маскировку под VPN в Chrome Web Store для кражи паролей и полного контроля над браузером".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.