Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Socket Threat: клоны расширений Chrome рассылают спам в WhatsApp

4 мин
Оглавление
Источник: socket.dev
Источник: socket.dev

Исследовательская группа Socket Threat зафиксировала скоординированную кампанию по распространению множества обновлённых клонов расширения для веб-автоматизации WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в интернет-магазине Chrome. По оценке исследователей, операция действует как минимум девять месяцев и продолжает развиваться — новые версии расширений публиковались вплоть до середины октября 2025 года.

Что именно обнаружили исследователи

Исследовательская группа Socket Threat обнаружила скоординированную кампанию по распространению в интернет-магазине Chrome 131 обновленного клона расширения для веб-автоматизации WhatsApp.

Ключевые моменты расследования:

  • Разработчики создают многочисленные клонированные версии одного и того же расширения под разными названиями и брендингом.
  • Целевая аудитория — малые предприятия Бразилии; рекламные материалы ориентированы на местный рынок и обещают «легкую автоматизацию» коммуникаций.
  • Для продвижения используются практически идентичные сайты — в числе примеров указано lobovendedor.com.br — и сопутствующие аккаунты в YouTube, LinkedIn и TikTok.
  • Продажа осуществляется через тарифные планы подписки: таким образом злоумышленники монетизируют фродовую инфраструктуру.

Механика кампании и ложный маркетинг

Атака выстроена по принципу франчайзинговой модели: основной оператор предоставляет продукт, а «аффилиаты» публикуют его под собственным соусом. Рекламные сайты выставляют размещение расширения в Chrome Web Store как знак тщательной проверки и гарантии безопасности, что вводит пользователей в заблуждение. На самом деле проверка ограничивается соответствием правилам публикации, а не глубокой оценкой безопасного кода.

В результате потенциальные пользователи получают ложное ощущение безопасности и доверяют расширениям, которые обладают автоматизированными функциями для отправки сообщений через WhatsApp без явного согласия адресатов.

Нарушение политик Google и WhatsApp

Кампания нарушает несколько политик:

  • Политики Google в отношении рассылки спама и злоупотреблений в Chrome Web Store — прямо запрещено использование множества расширений с схожей функциональностью и манипуляция показателями.
  • Политика обмена бизнес-сообщениями WhatsApp требует явного согласия пользователей на получение сообщений; автоматизированные массовые рассылки обходят эти требования и представляют собой непосредственное нарушение.

Техническая картина: соответствие MITRE ATT&CK

Socket Threat проиллюстрировала технические аспекты кампании через фреймворк MITRE ATT&CK. Основные используемые техники:

  • T1176.001 — Extensions: злоупотребление расширениями браузера для выполнения автоматизированных задач.
  • T1204 — User Execution: требование действий со стороны пользователя для активации функционала расширения.
  • T1059.007 — JavaScript: использование JavaScript для выполнения команд и сценариев внутри браузера.
  • T1217 — Browser Data Discovery: сбор информации из браузеров для упрощения рассылок и таргетинга.
  • T1005 — Data from Local System: извлечение данных из локальной системы пользователя.

Последствия для бизнеса и пользователей

Операция выявляет две ключевые уязвимости:

  • Дефицит надёжных механизмов модерации в Chrome Web Store, позволяющий злоумышленникам массово публиковать клоны.
  • Низкая осведомлённость конечных пользователей и владельцев малого бизнеса о рисках автоматизированных рассылок и о том, что размещение в магазине расширений не равно аудиту безопасности.

Рекомендации

  • Малым предприятиям: тщательно проверять отзывы, политику конфиденциальности и происхождение расширений; требовать доказательств соблюдения требований WhatsApp к получению согласий перед внедрением автоматизации.
  • Пользователям: избегать установки расширений из неизвестных источников и внимательно читать разрешения, запрашиваемые расширением.
  • Для платформы Chrome Web Store: усилить проверки при массовой публикации клонов и повысить прозрачность процесса модерации.
  • Для WhatsApp и регуляторов: координировать усилия по обнаружению и блокировке инструментов, которые систематически обходят требования согласия пользователей.

Расследование Socket Threat служит напоминанием: технологические решения, обещающие автоматизацию бизнес-коммуникаций, могут нести скрытые риски — особенно когда за привлекательным маркетингом стоит схема с множественными клоновыми продуктами и массовой рассылкой без согласия. В условиях растущей угрозы владельцам бизнеса важно сочетать осторожность, проверку поставщиков и осознанный подход к внедрению автоматизации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Socket Threat: клоны расширений Chrome рассылают спам в WhatsApp".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Гаджеты и электроника
Нейронные сети (Neural Networks)
Найти тему
Кибербезопасность
Форум «Цифровые решения»
Технологии в финансах
Интернет вещей (IoT)
Робототехника
Нанотехнологии
Веб-разработка
Разработка игр
WhatsApp
IT (информационные технологии)
Машинное обучение (Machine Learning)
Социальные сети и мессенджеры
Технологии будущего
Технологии в социальной сфере
Технологии в медицине
Языки программирования
Мобильная разработка
Системное администрирование
WhatsApp
31,2 тыс интересуются