Расширения в Chrome крадут данные россиян, маскируясь под Fortinet, YouTube и другие сервисы

Эксперты компании DomainTools сообщили о масштабной вредоносной кампании в Chrome Web Store. В ходе расследования специалисты выявили свыше сотни расширений, способных похищать личную информацию пользователей. Эти надстройки притворяются полезными инструментами — от VPN до ассистентов на базе ИИ, создавая иллюзию доверия.

Как пояснили аналитики DomainTools, вредоносные расширения выполняют заявленные функции лишь частично. Основная задача этих модификаций — скрытное взаимодействие с удалённой инфраструктурой злоумышленников. Через установленные каналы надстройки получают команды, крадут файлы cookie и внедряют скрипты в систему жертвы. Исследователи подчеркнули, что такие расширения способны не только шпионить за пользователем, но и менять сетевой трафик, перенаправляя его на рекламные или вредоносные ресурсы.

Особое внимание в отчёте уделено поддельным страницам, созданным для распространения вредоносных модулей. Всего обнаружено более 100 доменов, которые маскируются под известные компании. Среди них — имитации брендов Fortinet, YouTube, DeepSeek AI и даже онлайн-сервисов для планирования встреч. По данным DomainTools, пользователи могли попасть на эти страницы через вредоносную рекламу, запущенную в поисковых системах и соцсетях.

Издание BleepingComputer подтвердило: несмотря на меры, предпринятые Google, часть вредоносных расширений продолжает оставаться в официальном магазине Chrome. Это создаёт дополнительную угрозу для пользователей, которые ищут новые инструменты для работы и повышения эффективности.

Эксперты DomainTools обратили внимание на агрессивную модель работы злоумышленников. Несмотря на то что некоторые расширения были удалены, многие остались активны. Это указывает на постоянное обновление и модификацию вредоносных модулей. Кроме того, исследователи предупредили о высоком уровне доступа, который получают такие расширения. Они требуют разрешения на чтение всех файлов cookie, перехват сетевого трафика, создание прокси и выполнение кода JavaScript с внешних источников.

В качестве примера приведено расширение под названием «fortivpn». Оно позволяет похищать cookie, создавать каналы проксирования и запускать произвольные скрипты. Эксперты уточнили, что при получении команды надстройка извлекает все cookie с помощью метода chrome.cookies.getAll({}), сжимает их с использованием библиотеки pako, кодирует в Base64 и передаёт на удалённый сервер под контролем атакующих.