У Chrome виявили шкідливі розширення під виглядом популярних інструментів

У Google Chrome Web Store виявлено масштабну кампанію з поширення шкідливих розширень, які видають себе за легітимні інструменти - від VPN і криптовалютних утиліт до ШІ-асистентів.

Про це повідомляє Bleeping Computer.

{reklama}

Що відомо

За їхніми даними, понад 100 розширень частково виконують обіцяні функції, але одночасно підключаються до інфраструктури зловмисників, крадуть призначені для користувача дані та отримують команди на виконання шкідливих дій. Деякі з них модифікують мережевий трафік, показують рекламу, перенаправляють користувачів або діють як проксі.

Для просування цих розширень використовували понад 100 підроблених доменів, зокрема підробки під Fortinet, YouTube, Calendly та інші:

- forti-vpn[.]com, fortivnp[.]com
- youtube-vision[.]com
- deepseek-ai[.]link
- calendlydocker[.]com, calendly-director[.]com
- debank-extension[.]world, debank[.]sbs
- earthvpn[.]top, raccoon-vpn[.]world



Усі сайти пропонували кнопку "Додати в Chrome", яка вела на шкідливі розширення в магазині Chrome, що створювало ілюзію довіри. Незважаючи на те, що Google вже видалив частину з них, деякі, як і раніше, доступні, підтвердили в BleepingComputer.

Розширення запитували небезпечні дозволи - доступ до cookies, можливість виконувати довільні скрипти і фішингові атаки через DOM. Наприклад, розширення "fortivpn" краде cookies, створює проксі-підключення і передає дані на один із небезпечних серверів.

Встановлення таких розширень може призвести до крадіжки акаунтів, персональних даних і моніторингу активності. У деяких випадках - до злому корпоративних мереж через компрометацію VPN-доступу.

Експерти рекомендують завантажувати розширення тільки від перевірених розробників і звертати увагу на відгуки користувачів.


Читайте новини "МБ" у Facebook | Telegram | Viber | Instagram