СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

ShotBird: расширение Chrome стало вредоносным после смены владельца

В значительном инциденте, о котором сообщалось 8 марта 2026 года, ранее законное расширение Chrome ShotBird было переработано в канал распространения вредоносного ПО после смены владельца. В результате трансформации расширение начало выполнять широкий набор злонамеренных действий — от внедрения обманных обновлений до кражи конфиденциальных данных из форм пользователей.

Краткая хронология инцидента

  • Ноябрь 2024 — начало постепенных обновлений расширения, которые со временем изменили его поведение.
  • Декабрь 2025 — начало критического изменения владельца (по данным, до начала 2026 года смена произошла окончательно).
  • Начало 2026 — расширение приобрело явно злонамеренные функции и начало использоваться для атак.
  • Март 2026 — после раскрытия проблемы листинг расширения в Chrome Web Store был недоступен.

Технический разбор: двухэтапный механизм выполнения

Технический анализ показал, что атака реализована в два этапа. Внешне безобидное обновление маскировалось под файл googleupdate.exe, который на деле являлся оболочкой. Эта оболочка содержала подлинный установщик Google Chrome и компонент стадии — psfx.msi. При запуске на Windows компонент стадии выполнял закодированные команды PowerShell, загружая дополнительные нагрузки с домена orangewater00.com для расширения возможностей злоумышленников.

  • Маскировка обновления: пользователям предлагалось скачать якобы безопасное обновление — googleupdate.exe.
  • psfx.msi: выполнял Base64/обфусцированные PowerShell-команды, которые тянули и запускали дополнительные payload’ы.
  • Источник дополнительных модулей: orangewater00.com — основной домен для загрузки вредоносных компонентов.
  • Два операционных режима: режим загрузки файлов и режим выполнения команд (remote command execution).

Методы обхода защиты и инъекции в браузер

Расширение применяло сочетание технических и социальных механизмов для обхода защит и внедрения вредоносного контента:

  • Использование declarativeNetRequest-правил для удаления заголовков безопасности (включая Content-Security-Policy и X-Frame-Options), что увеличивало возможность инъекций в страницы.
  • Постоянное внедрение вредоносных элементов пользовательского интерфейса на посещаемых страницах — цель: обмануть пользователя и заставить скачать вредоносные файлы.
  • Социальная инженерия: обманчивые уведомления об обновлении и доверительный интерфейс, маскирующийся под легитимные процессы.

«расширение стало использоваться для кибератак»

Последствия для безопасности и доказательства компрометации

Логи блоков сценариев PowerShell на затронутых хостах подтвердили, что загруженные payload’ы не только выполняли команды, но и занимались перечислением учетных данных и извлечением данных, хранящихся в браузерах на основе Chromium. Таким образом расширение служило начальной точкой доступа для более широких компрометаций конечных устройств и потенциальной кражи учетных данных.

Инфраструктурные связи и паттерны атак

Аналитика инфраструктуры указала на шаблоны URL-адресов обратного вызова, которые соответствуют другим известным операциями вредоносного ПО, используемым при компрометации легитимных инструментов после смены владельца. Это укладывается в устоявшуюся тактику злоумышленников — использовать легитимные ресурсы и сервисы как фронт для распространения.

Риски и практические рекомендации

Инцидент подчеркивает важность бдительности при использовании расширений браузера: даже легитимные расширения могут стать начальной точкой доступа для сложных атак. Рекомендуемые меры:

  • Проверять происхождение и историю обновлений расширений перед установкой/обновлением.
  • Ограничивать права расширений и применять групповые политики (enterprise policies) для управления установками в организациях.
  • Блокировать и мониторить домены, связанные с атакой (включая orangewater00.com), на уровне DNS/Proxy/Firewall.
  • Использовать EDR/AV, способные детектировать необычные PowerShell-активности и запуск подозрительных MSI/EXE.
  • Обучать пользователей распознавать фишинговые и социально-инженерные приманки, не запускать непроверенные обновления (googleupdate.exe и проч.).
  • Проверять и ревизовать установленные расширения, удалять подозрительные и те, чей владелец недавно сменился.

Вывод

Случай с ShotBird демонстрирует растущую тенденцию: злоумышленники целенаправленно компрометируют или покупают легитимные расширения и приложения, превращая их в ретрансляторы вредоносного ПО. Это увеличивает поверхность атаки и требует как технических, так и организационных мер по управлению расширениями и защите конечных устройств.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: