Исследователи из компании Socket раскрыли масштабную кампанию по распространению вредоносных расширений для браузера Google Chrome. Им удалось выявить 108 расширений, которые маскировались под полезные инструменты: от клиентов для Telegram и улучшателей для YouTube до простых игр и переводчиков. В общей сложности эти расширения были установлены примерно на 20 000 компьютеров по всему миру.
Как выяснили эксперты, за всеми этими расширениями стояла одна и та же инфраструктура злоумышленников. Чтобы не вызывать подозрений, создатели кампании распространяли их под пятью разными именами издателей: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt.
Самым опасным в этой группе оказалось расширение «Telegram Multi-account», которое, по данным специалистов, способно красть активную веб-сессию Telegram из браузера жертвы и отправлять ее на сервер злоумышленников каждые 15 секунд. Более того, оно могло принудительно заменить активную сессию пользователя на сессию, контролируемую злоумышленниками.
Однако этим угрозы не ограничивались. Согласно отчету, 54 расширения были нацелены на кражу данных аккаунтов Google через механизмы OAuth2. Они собирали адреса электронной почты, имена и уникальные идентификаторы пользователей. Еще 45 аддонов содержали функцию, которая при каждом запуске браузера незаметно связывалась с сервером и открывала в фоновом режиме любые указанные злоумышленниками URL-адреса.
В коде некоторых расширений были обнаружены русскоязычные отладочные строки, что может указывать на возможную связь кампании с русскоязычными хакерскими группами, хотя окончательные выводы делать рано.
Эксперты настоятельно рекомендуют всем пользователям проверить список установленных расширений в своем браузере и немедленно удалить любые подозрительные. Также в целях безопасности советуют завершить все активные сессии в веб-версии Telegram через мобильное приложение.
Автор: Адам Магомедов