СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 мая
#ИБ#ИИ

Вредоносные AI-расширения для браузеров: рост RAT и краж данных

Недавние данные указывают на заметный рост киберугроз, в которых browser extensions маскируются под инструменты искусственного интеллекта. За внешне легитимными функциями скрываются различные формы malware, включая RAT, атаки MitM и infostealers. На фоне растущего интереса к GenAI злоумышленники используют доверие пользователей к AI-сервисам, чтобы собирать конфиденциальные данные и получать контроль над браузерными сессиями.

Как работает схема

По данным отчета, вредоносные extensions все чаще имитируют функции генеративного ИИ, одновременно отслеживая действия пользователей и перехватывая чувствительную информацию. Такие кампании демонстрируют, что браузер становится не просто точкой входа, а полноценной целью для целевых атак.

Особую тревогу вызывает то, что злоумышленники используют large language models для создания и доработки вредоносного кода. Это повышает качество маскировки, усложняет анализ и делает атаки более изощренными.

Технические приемы: WebSocket, API interception и DOM exfiltration

Исследование выделяет несколько характерных техник, которые применяются в подобных extensions:

  • C2 на основе WebSocket — обеспечивает постоянную связь с удаленным сервером, позволяет отправлять команды и управлять сессиями;
  • устойчивое соединение, способное восстанавливаться после сетевых сбоев;
  • API interception в браузере — перехват вызовов browser API;
  • DOM exfiltration — извлечение конфиденциальных данных из структуры страницы без заметных сетевых запросов;
  • скрытый перехват сетевого трафика и действий пользователя.

Такая архитектура делает атаки менее заметными для традиционных средств защиты, поскольку вредоносная активность часто не сопровождается очевидными индикаторами в сети.

Примеры вредоносных extensions

Отчет выделяет несколько особенно показательных случаев. Среди них — extension “Chrome MCP Server — AI Browser Control”, который фактически выполняет роль RAT. Он устанавливает жестко закодированное WebSocket-соединение и предоставляет злоумышленникам контролируемый доступ к контексту браузера жертвы.

Другой пример — “Reverse Recruiting — AI Job Application Assistant”. Под видом помощника для поиска работы extension собирает не только персональные данные, но и конфиденциальные AI API keys. По сути, это классический infostealer, который захватывает идентичность пользователя, данные приложений и учетные данные, а затем отправляет их на удаленный сервер без ведома жертвы.

Еще один образец — “Chat AI for Chrome”, работающий как search hijacker. Он изменяет search settings в браузере и перенаправляет запросы на ресурсы, контролируемые злоумышленниками. Это позволяет отслеживать активность пользователей на разных устройствах и закрепляться в среде даже после очистки cookies.

Шпионские функции и скрытое закрепление

В отчете также отмечены extensions-шпионы, в том числе extension для перевода с китайского языка. Подобные инструменты демонстрируют возможности масштабного мониторинга: они собирают данные через избыточные permissions и используют proxy configurations для расширения контроля над трафиком.

Отдельно подчеркивается, что злоумышленники применяют многоуровневые механизмы хранения данных, что помогает сохранять закрепление в браузере даже после попыток очистки. Это делает угрозу особенно устойчивой.

GenAI в разработке вредоносного кода

Еще один важный тренд — появление кампаний, использующих сгенерированный искусственным интеллектом code для разработки extensions. В частности, схема 10xprofit применяла шаблонные практики программирования на различных online platforms, чтобы скрытно внедрять affiliate tags.

Это показывает, что AI используется не только как приманка для жертв, но и как инструмент автоматизации самой преступной разработки.

Что это означает для защиты

Эволюция подобных угроз требует пересмотра подходов к security. Отчет рекомендует рассматривать web browsers как один из ключевых элементов общей модели защиты, а не как второстепенный канал риска.

Приоритетом должны стать:

  • надежные механизмы detection;
  • поведенческий analysis network activity;
  • integrating contextual intelligence для выявления целевых атак;
  • контроль browser extensions и их permissions;
  • мониторинг подозрительных C2-каналов и аномалий в browser traffic.

Вывод отчета однозначен: угрозы, использующие тему искусственного интеллекта, становятся все более адресными, скрытными и технологически зрелыми. В этих условиях защита должна опираться не только на сигнатуры, но и на поведенческую аналитiku и контекстное обнаружение.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: