СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#Dev#ИБ#Инфра

131 вредоносное расширение Chrome: WhatsApp Web как платформа для спама

131 вредоносное расширение Chrome: WhatsApp Web как платформа для спама

В начале 2025 года исследователи обнаружили крупную киберугрозу: 131 вредоносное расширение Chrome использовало WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) Web для автоматизированной рассылки спама. Масштаб и организация этой операции демонстрируют, как злоумышленники обходят механизмы модерации и превращают привычные бизнес‑инструменты в инструменты злоупотребления.

Суть обнаруженной кампании

Расширения продавались как инструменты для улучшения делового общения и интеграции с CRM, но имели общую серверную инфраструктуру и кодовую базу. Благодаря постоянному ребрендингу и публикации клонированных версий злоумышленники сумели незаметно охватить широкую базу пользователей в интернет‑магазине Google Chrome.

Как работала атака

Механизм эксплойта был прост и эффективен: после установки расширения оно внедряло вредоносный JavaScript на страницу WhatsApp Web. Этот код позволял автоматически отправлять массовые сообщения, удалять контакты и планировать рассылки — фактически превращая браузер пользователя в спам‑бота.

При этом расширения часто ложно рекламировали функции конфиденциальности и CRM‑интеграции, вводя пользователей в заблуждение о своем назначении и нарушая условия использования как WhatsApp, так и интернет‑магазина Chrome.

Организация и ответственность

Аналитики выделили несколько ключевых игроков, стоявших за операцией: DBX Tecnologia и Grupo OPT. Они действовали по модели white-label, поставляя средство автоматизации рассылок третьим лицам, которые могли проводить ребрендинг и публиковать расширения под своими брендами. Это указывает на скоординированную, централизованную кампанию, а не на разрозненные случаи.

«Одна и та же вредоносная кодовая база была перепрофилирована под множество расширений, что значительно осложняло процессы обнаружения и удаления», — отмечают исследователи.

Технические признаки и индикаторы компрометации

  • Необычное выполнение JavaScript в контексте WhatsApp Web (автоматическая отправка сообщений, планировщик рассылок).
  • Незаявленные запросы к удаленным серверам общего назначения или к общим API среди разных расширений.
  • Повышенный сетевой трафик от браузера в моменты отправки массовых сообщений.
  • Удаление или массовая модификация контактов в аккаунтах пользователей.
  • Совпадающие строки кода или общая кодовая база у нескольких расширений.

Рекомендации по снижению риска

Для защиты от подобных угроз экспертами предлагаются следующие меры:

  • Регулярно проверять установленные расширения на легитимность и соответствие заявленным функциям.
  • Ограничить установку расширений политиками безопасности: использовать allow‑list/deny‑list для браузерных расширений.
  • Разрешать установку программного обеспечения только проверенными источниками и центрально контролировать инсталляции в организации.
  • Поддерживать актуальность браузеров и операционных систем, применять своевременные обновления безопасности.
  • Обучать пользователей рискам: объяснять опасность установки неизвестных расширений и признаков компрометации.
  • Внедрять методы обнаружения, согласованные с MITRE ATT&CK framework: мониторинг установки новых расширений, аномалий выполнения JavaScript и подозрительного доступа к данным браузера.

Значение инцидента и выводы

Этот случай наглядно показывает, что граница между легитимными маркетинговыми инструментами и вредоносным ПО стирается: злоумышленники используют доверенные платформы, такие как интернет‑магазин Google Chrome и WhatsApp Web, для масштабного распространения спам‑инструментов. Однократно скомпрометированная кодовая база, работающая по модели white-label, позволяет атакующим быстро менять внешний вид и владельцев расширений, оставаясь при этом эффективными.

Необходимы более строгие механизмы мониторинга и управления расширениями браузеров: как на уровне платформы (усиленная модерация и анализ кодовой базы), так и на уровне организаций (централизованный контроль, детекшн и обучение пользователей). Только комплексный подход позволит снизить риски, присущие этим широко используемым инструментам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: