Исследователи из Koi Security обнаружили масштабную вредоносную кампанию VK Styles, в которой были задействованы пять расширений для браузера Chrome с общим числом установок более 500 000. Под видом инструментов для смены оформления (темная тема, фон) и скачивания музыки, злоумышленники распространяли троянское ПО. Самое популярное расширение насчитывало 400 000 загрузок. Вместо обещанного функционала пользователи получали вредоносный скрипт, перехватывающий управление их аккаунтами ВКонтакте.
Технические особенности атаки
- Скрытый командный центр: Управление зараженными браузерами осуществлялось через HTML-метатеги в профиле специально созданного пользователя VK. Расширение парсило страницу, извлекало зашифрованный URL и активировало полезную нагрузку.
- Маскировка трафика: Вредоносный JavaScript загружался с репозитория GitHub (пользователь 2vk), а команды считывались с vk.com. Это позволяло обходить защитные системы, так как весь трафик выглядел как легитимное обращение к доверенным ресурсам.
- Сложная архитектура: Атака включала инъекцию кода Yandex.Metrics для маскировки, манипуляцию с CSRF-токенами и использование cookie remixsec_redir для обхода внутренней защиты соцсети.
Последствия для пользователей
- Принудительные подписки: При каждом входе в VK с вероятностью 75% расширение подписывало жертву на подконтрольные злоумышленникам паблики. Одно из сообществ таким образом набрало 1.4 миллиона подписчиков.
- Навязчивое изменение настроек: Скрипт каждые 30 дней принудительно сбрасывал настройки ленты новостей на умную (алгоритмическую) и менял тему сообщений, игнорируя выбор пользователя.
- Угроза безопасности: Расширения получали полный контроль над сессией пользователя, что грозило утечкой данных, использованием аккаунта в бот-фермах и накруткой активности для монетизации через VK Donut.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675