- Автор темы
- #1
Аналитики DomainTools Intelligence (DTI) обнаружили более 100 вредоносных расширений для браузера Chrome, замаскированных под VPN, ИИ-ассистенты и криптоутилиты. Расширения используются для кражи файлов cookie и скрытого выполнения удаленных скриптов.
По словам экспертов, неизвестные злоумышленники распространяют вредоносные расширения с февраля 2024 года.
Один из мошеннических сайтов
На первый взгляд расширения действительно выполняют заявленные функции, однако при этом они воруют учетные данные и файлы cookie, перехватывают сеансы, внедряют в браузер рекламу, создают вредоносные перенаправления, манипулируют трафиком и занимаются фишингом, манипулируя DOM.
Кроме того, расширения настроены на предоставление себе чрезмерных прав через файл manifest.json, что позволяет им взаимодействовать с каждым посещаемым сайтом, выполнять произвольный код, полученный с контролируемого злоумышленником домена, осуществлять вредоносные редиректы и даже внедрять на страницы рекламу.
Расширения используют обработчик события onreset в DOM (Document Object Model) для выполнения кода, вероятно, в попытке обойти CSP (Content Security Policy).
Пока неясно, как именно жертв заманивают на фиктивные сайты, но исследователи предполагают, что для этого используются обычные методы, включая фишинг и публикации в социальных сетях.
Полный список вредоносных доменов с рекламой расширений доступен на GitHub DTI. Среди них:
По словам экспертов, неизвестные злоумышленники распространяют вредоносные расширения с февраля 2024 года.
Некоторые из обнаруженных сайтов-приманок выдают себя за легитимные продукты и сервисы, включая DeepSeek, Manus, DeBank, FortiVPN, YouTube и Site Stats, чтобы убедить пользователей загрузить и установить расширения. После этого они собирают из браузера файлы cookie, получают произвольные скрипты с удаленного сервера и устанавливают WebSocket-соединение для работы в качестве прокси и маршрутизации трафика.
Один из мошеннических сайтовНа первый взгляд расширения действительно выполняют заявленные функции, однако при этом они воруют учетные данные и файлы cookie, перехватывают сеансы, внедряют в браузер рекламу, создают вредоносные перенаправления, манипулируют трафиком и занимаются фишингом, манипулируя DOM.
Кроме того, расширения настроены на предоставление себе чрезмерных прав через файл manifest.json, что позволяет им взаимодействовать с каждым посещаемым сайтом, выполнять произвольный код, полученный с контролируемого злоумышленником домена, осуществлять вредоносные редиректы и даже внедрять на страницы рекламу.
Расширения используют обработчик события onreset в DOM (Document Object Model) для выполнения кода, вероятно, в попытке обойти CSP (Content Security Policy).
Пока неясно, как именно жертв заманивают на фиктивные сайты, но исследователи предполагают, что для этого используются обычные методы, включая фишинг и публикации в социальных сетях.
На данный момент неизвестно, кто стоит за этой вредоносной кампанией. Получив информацию от исследователей, инженеры Google удалили почти все расширения из официального магазина.
Полный список вредоносных доменов с рекламой расширений доступен на GitHub DTI. Среди них:
- earthvpn[.]top;
- irontunnel[.]world и iron-tunnel[.]com;
- raccoon-vpn[.]world;
- orchid-vpn[.]com;
- soul-vpn[.]com;
- forti-vpn[.]com и fortivnp[.]com;
- debank-extension[.]world и debank[.]sbs, debank[.]click;
- youtube-vision[.]com и youtube-vision[.]world;
- deepseek-ai[.]link;
- calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com;
- whale-alerts[.]org и whale-alert[.]life;
- madgicxads[.]world и madgicx-plus[.]com;
- similar-net[.]com;
- workfront-plus[.]com;
- flight-radar[.]life.