С февраля 2024 года неизвестный злоумышленник распространяет вредоносные расширения для Google Chrome, маскируя их под легитимные утилиты. Эти расширения предлагают полезные функции, но при этом тайно собирают данные, перехватывают сессии, внедряют рекламу, выполняют произвольный код и перенаправляют пользователей на опасные ресурсы.
По данным DomainTools Intelligence (DTI), хакер создает фальшивые сайты, имитирующие популярные сервисы — VPN, банковские и рекламные инструменты, криптовалютные платформы и т.д. Через них он продвигает вредоносные расширения в Chrome Web Store.
Они запрашивают чрезмерные разрешения через файл manifest.json, что позволяет им получать доступ ко всем сайтам, загружать удалённые скрипты и работать в качестве прокси-серверов через WebSocket. Также выявлена попытка обойти политику безопасности контента (CSP) с помощью обработчика onreset в DOM.
Некоторые из поддельных сайтов маскируются под сервисы вроде DeepSeek, Manus, DeBank и FortiVPN. После установки дополнения собирают cookie-файлы и подключаются к внешним серверам.
Хотя точный способ привлечения жертв неизвестен, вероятны методы социальной инженерии, фишинг, реклама и продвижение через соцсети. DomainTools отметила наличие Facebook-трекинга на таких сайтах, что указывает на использование рекламных инструментов Meta (*запрещенная в РФ организация).
По состоянию на май 2025 года Google уже удалил часть вредоносных расширений. Пользователям рекомендуется проверять разработчиков, изучать запрашиваемые разрешения и отзывы — хотя и последние могут быть подделаны.
DTI обнаружила, что одно из расширений перенаправляло пользователей с низкими оценками на закрытую форму, а с высокими — на страницу Chrome Web Store, что говорит о манипуляции системой отзывов.
Microsoft обвиняет северокорейских хакеров в эксплуатации уязвимости в браузере Google Chrome
