3,2 млн человек стали жертвами вредоносных расширений для Chrome

Изображение: Arkan Perdana (unsplash)
Эксперты GitLab Threat Intelligence обнаружили 16 дополнений для браузера Chrome, среди которых утилиты для создания снимков экрана, блокировщики рекламы и виртуальные клавиатуры с эмодзи. Эти расширения, заразившие как минимум 3,2 млн пользователей, распространяли вредоносный код.
Разработчики зловредного ПО использовали методы поисковой оптимизации, чтобы повысить популярность своих продуктов.
Преступники детально спланировали операцию, применяя сложные методы обхода защиты браузеров. Специалисты пояснили, что атака состояла из нескольких этапов: сначала отключалась система безопасности, а затем загружался вредоносный код.
Активность преступников началась в июле 2024 года, когда они получили доступ к подлинным расширениям. В декабре их атаки переросли в фишинговые кампании, нацеленные на учётные записи разработчиков. Это позволило злоумышленникам загружать вредоносные обновления для официально одобренных дополнений в Chrome Web Store.
Хотя аддоны продолжали выполнять заявленные функции, внутри них был обнаружен универсальный вредоносный механизм. Он выполнял несколько задач:
- Анализировал параметры системы при установке, передавая на удалённые серверы данные о версии расширения и уникальный идентификатор пользователя.
- Вносил изменения в настройки безопасности браузера, удаляя заголовок Content Security Policy (CSP) на первых 2000 посещённых страниц в каждой сессии.
- Обеспечивал постоянное соединение с командным сервером (C2) и получал обновления конфигурации.
Исследование показало, что каждое из заражённых расширений использовало отдельный сервер для управления настройками.
По мнению специалистов, основными целями атаки были кража конфиденциальной информации и мошенничество с кликами.



