Зображення: iTechua
Фахівці компанії Socket виявили 108 шкідливих розширень для браузера Google Chrome, які активно використовувалися для викрадення особистих даних, підміни реклами та впровадження небезпечного JavaScript на відвідуваних сайтах. Ці доповнення маскувалися під корисні інструменти, такі як ігри, утиліти або панелі для соціальних мереж, становлячи серйозну загрозу кібербезпеці користувачів.
Деталі кібератаки
За даними Socket, виявлені розширення впроваджували шкідливий код у фонові процеси браузера. До списку небезпечних плагінів, що мали понад тисячу завантажень, входили різноманітні “веб-клієнти” для сервісів, перекладачі та ігрові програми. Дослідження встановило, що всі 108 розширень були опубліковані від імені п’яти різних видавців, проте вони використовували спільну серверну інфраструктуру. Усі доповнення підключалися до єдиного серверу керування (C2) та використовували однакові проєкти в Google Cloud, що свідчить про централізований контроль зловмисників. У коді також були виявлені російськомовні коментарі.
Механізм та наслідки компрометації
Зі 108 шкідливих розширень 54 спеціалізувалися на викраденні даних облікових записів Google, збираючи електронну пошту, ім’я, фото профілю та унікальний ідентифікатор акаунта для точнішого відстеження користувачів. Ще 45 доповнень створювали бекдори в браузері, які активувалися при кожному запуску. Окрему загрозу становили атаки на Telegram, де одне з розширень викрадало сесії кожні 15 секунд. Інші плагіни підміняли рекламу та відключали захисні механізми вебсайтів.
За оцінками компанії Socket, масштаби атаки значні: постраждали близько 20 тисяч користувачів, а понад 3000 випадків були пов’язані з компрометацією акаунтів Telegram. Експерти припускають, що схема могла функціонувати за моделлю “malware-as-a-service”, де викрадена інформація продавалася іншим кіберзлочинцям. Попри повідомлення Google, деякі небезпечні розширення залишаються доступними в магазині.
Рекомендації для захисту
Експерти наголошують на важливості негайного видалення підозрілих доповнень. Для цього необхідно відкрити меню браузера, перейти до розділу “Розширення” та переглянути встановлені плагіни. Будь-які підозрілі або згадані у звіті розширення слід негайно видалити. Користувачам також радять вийти з усіх сесій Telegram через налаштування пристроїв та перевірити доступ сторонніх сервісів до свого Google Account.
Фахівці підкреслюють, що розширення є одним із найпростіших способів отримати доступ до браузера. Важливо регулярно видаляти непотрібні доповнення, обирати лише перевірені сервіси та уважно перевіряти дозволи перед встановленням. Додатковий захист можуть забезпечити антивірусні рішення та функції безпечного перегляду.
За матеріалами: iTechua