Вредоносные расширения Chrome крадут сессии и выполняют команды

В недавнем анализе киберугроз описана сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Сценарий сочетает фишинговую рассылку, обфусцированный JavaScript, установку Windows-бэкдора и скрытую эксплуатацию Chrome Native Messaging, что позволяет злоумышленникам выполнять команды и собирать конфиденциальные данные внутри браузера и на хост-системе.

Как начинается атака

Атака стартует с фишингового письма, содержащего вложение, которое маскируется под PDF-файл. На деле это обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения файл запускает Windows-бэкдор и размещает дополнительные компоненты во временной папке системы.

Далее в цепочке атаки используется скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера так, чтобы разрешить его установку. По сути, вредоносное ПО имитирует развертывание, контролируемое администратором, и таким образом обходит обычные ограничения пользователей.

Что делает вредоносное расширение

После установки расширение работает непосредственно внутри браузера и собирает чувствительные данные, включая:

• куки-файлы сессий;
• открытые вкладки;
• URL-адреса;
• языковые настройки;
• информацию о цифровом отпечатке устройства.

Кроме того, злоумышленники используют эту конфигурацию как канал удаленных команд. Это позволяет им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.

Роль Chrome Native Messaging

Ключевая особенность этого ВПО — использование Chrome Native Messaging, легитимной функции браузера, позволяющей расширениям взаимодействовать с нативными приложениями на хост-системе. В данном случае эта возможность используется для того, чтобы расширение выступало в роли контроллера и инициировало выполнение локального кода без прямого запуска PowerShell непосредственно из самого расширения.

Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, а тот уже взаимодействует с PowerShell. Такой подход помогает встроить атаку в ожидаемые рабочие процессы и снижает вероятность обнаружения.

Как снизить риски

Авторы анализа подчеркивают, что меры защиты имеют решающее значение для пользователей. Рекомендуется:

• тщательно проверять расширения файлов;
• использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО;
• контролировать установленные расширения Chrome и удалять подозрительные или неиспользуемые;
• выходить из критически важных учетных записей после использования, чтобы аннулировать потенциально скомпрометированные сессионные cookie;
• регулярно проверять историю входов в учетную запись для выявления несанкционированного доступа.

Вывод: атака демонстрирует, как сочетание фишинга, поддельных вложений, PowerShell и Chrome Native Messaging позволяет злоумышленникам скрытно закрепляться в системе и управлять заражением через браузерный контур. Для пользователей особенно важно внимательно относиться к вложениям, расширениям и активности учетных записей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.