У Google Chrome Web Store виявлено масштабну кампанію з поширення шкідливих розширень, які видають себе за легітимні інструменти - від VPN і криптовалютних утиліт до ШІ-асистентів.
Про це повідомляє Bleeping Computer.
Що відомо
За їхніми даними, понад 100 розширень частково виконують обіцяні функції, але одночасно підключаються до інфраструктури зловмисників, крадуть призначені для користувача дані та отримують команди на виконання шкідливих дій. Деякі з них модифікують мережевий трафік, показують рекламу, перенаправляють користувачів або діють як проксі.
Для просування цих розширень використовували понад 100 підроблених доменів, зокрема підробки під Fortinet, YouTube, Calendly та інші:
- forti-vpn[.]com, fortivnp[.]com
- youtube-vision[.]com
- deepseek-ai[.]link
- calendlydocker[.]com, calendly-director[.]com
- debank-extension[.]world, debank[.]sbs
- earthvpn[.]top, raccoon-vpn[.]world
Усі сайти пропонували кнопку "Додати в Chrome", яка вела на шкідливі розширення в магазині Chrome, що створювало ілюзію довіри. Незважаючи на те, що Google вже видалив частину з них, деякі, як і раніше, доступні, підтвердили в BleepingComputer.
Розширення запитували небезпечні дозволи - доступ до cookies, можливість виконувати довільні скрипти і фішингові атаки через DOM. Наприклад, розширення "fortivpn" краде cookies, створює проксі-підключення і передає дані на один із небезпечних серверів.
Встановлення таких розширень може призвести до крадіжки акаунтів, персональних даних і моніторингу активності. У деяких випадках - до злому корпоративних мереж через компрометацію VPN-доступу.
Експерти рекомендують завантажувати розширення тільки від перевірених розробників і звертати увагу на відгуки користувачів.
Читайте новини "МБ" у Facebook | Telegram | Viber | Instagram
