В магазине расширений Chrome обнаружена масштабная вредоносная кампания, которая маскировалась под безобидные инструменты — от Telegram-клиентов до мини-игр и надстроек для YouTube и TikTok.
Исследование провела команда Socket Threat Research Team. По их данным, всего было выявлено 108 вредоносных расширений, которые суммарно успели набрать около 20 тысяч установок.
Как это работало
Схема была довольно простой и при этом эффективной. Пользователь устанавливал расширение и видел вполне рабочий функционал — например:
- боковую панель для Telegram
- переводчик
- простую браузерную игру
Но параллельно с этим в фоне запускался вредоносный код.
Все обнаруженные расширения были связаны с единой управляющей инфраструктурой — cloudapi[.]stream. Через неё злоумышленники собирали украденные данные.
Маскировка под разных разработчиков
Чтобы не вызывать подозрений, кампания была распределена между пятью якобы независимыми издателями:
- Yana Project
- GameGen
- SideGames
- Rodeo Games
- InterAlt
На первый взгляд это выглядело как обычные разные разработчики. Однако анализ кода показал, что за всеми расширениями, скорее всего, стоял один оператор.
Дополнительный признак координации — использование всего двух проектов Google Cloud для OAuth2-инфраструктуры сразу у десятков расширений.
Самое опасное расширение
Особое внимание исследователи уделили расширению Telegram Multi-account.
По их данным, оно:
- крало активную веб-сессию Telegram прямо из браузера
- отправляло её на сервер злоумышленников каждые 15 секунд
Фактически это позволяло создавать почти непрерывное «зеркало» аккаунта жертвы.
Под ударом не только Telegram
Telegram был не единственной целью.
Согласно отчёту Socket:
- 54 расширения собирали данные об аккаунтах Google через OAuth2
- сами токены могли не покидать браузер
- но злоумышленники получали постоянные идентификаторы пользователей:email
имя
уникальный account ID
Почти готовый бэкдор
У 45 расширений была ещё одна опасная функция.
При каждом запуске браузера они:
- связывались с сервером
- получали команду
- незаметно открывали в новой вкладке любой указанный URL
Это фактически превращает расширение в полноценный бэкдор. С его помощью можно:
- подсовывать фишинговые страницы
- делать скрытые редиректы
- загружать дополнительный вредоносный контент
Следы происхождения
Socket также отметил признаки, которые могут указывать на связь кампании с Восточной Европой:
- в коде обнаружены русскоязычные отладочные строки
- в одном из файлов политики конфиденциальности найден адрес поддержки с упоминанием Киева
Итог
История с 108 расширениями — ещё одно напоминание: даже официальные магазины не гарантируют полной безопасности.
Даже если расширение выглядит полезным и работает как заявлено, это не означает, что внутри нет вредоносной логики.
Поэтому перед установкой стоит:
- проверять разработчика
- читать отзывы
- обращать внимание на запрашиваемые разрешения
Иногда «удобная функция» может обойтись слишком дорого.
Почему важен системный подход к безопасности
Такие инциденты показывают, что защита — это не разовая мера, а постоянный процесс. Важно системно подходить к обеспечению безопасности: своевременно устанавливать обновления, использовать проверенные инструменты мониторинга и выявления вредоносного ПО, а также контролировать доступы и поведение приложений.
Именно такой комплексный подход мы применяем в работе с клиентами в — учитывая не только текущие угрозы, но и потенциальные сценарии атак, которые могут остаться незаметными без грамотной настройки и постоянного контроля.
Пишите ваше мнение и вопросы в комментария или на наш ВК канал, мы обязательно на все вопросы ответим.