16 вредоносных расширений для Chrome заразили браузеры 3,2 миллиона пользователей

Речь идёт не о случайном взломе аккаунтов разработчиков. Исследователи пришли к выводу, что злоумышленники целенаправленно получали контроль над уже существующими легитимными расширениями, вступая в переговоры с их создателями или приобретая их. Активность вредоносной кампании прослеживается как минимум с июля 2024 года. В каталоге Chrome Web Store расширения маскировались под безобидные и даже полезные инструменты: клавиатуры с эмодзи, утилиты для создания скриншотов, блокировщики рекламы и прокси-сервисы. Все они действительно выполняли заявленные функции, что делало их ещё более незаметными.

Механизм атаки устроен крайне хитро. После установки расширение связывается с уникальным для каждого экземпляра конфигурационным сервером. Оттуда оно получает начальные настройки, которые проверяются каждые несколько минут. Однако ключевая особенность заключается в том, что вредоносная полезная нагрузка не загружается сразу. Исследователи предполагают, что злоумышленники активируют её только после накопления определённого количества сеансов проверки связи с сервером. Это позволяет атаке оставаться незамеченной для автоматизированных систем анализа, которые обычно проверяют расширение сразу после установки.

Важным этапом атаки является полное отключение политики безопасности контента (Content Security Policy, CSP) на посещаемых сайтах. CSP - это важнейший механизм защиты, который предотвращает внедрение вредоносного кода на веб-страницы. Расширение создаёт временные правила для каждого нового запроса, стирая CSP из первых 2000 сайтов, которые посещает пользователь за одну сессию. Без этой защиты злоумышленники получают возможность беспрепятственно внедрять в страницы произвольные скрипты.

При получении боевой конфигурации расширение запускает обфусцированный код, который перехватывает консоль браузера и полностью подавляет все её сообщения. Затем код создаёт специальный мост между контекстом веб-страницы и сервис-воркером расширения - изолированной средой, которая имеет доступ к мощным API Chrome. Через этот мост вредоносный скрипт получает возможность управлять вкладками, изменять заголовки сетевых запросов, читать и записывать данные в хранилище браузера. Для пользователя злоумышленники могут внедрять невидимые элементы (iframe) нулевого размера, которые в фоне загружают данные с управляющих серверов. Особую активность проявляют на страницах европейских магазинов Amazon, где они подменяют партнёрские ссылки.

Судя по анализу кода, главной целью злоумышленников было мошенничество в сфере поисковой оптимизации и арбитража трафика. Они перенаправляли пользователей на партнёрские ссылки крупных площадок, таких как Aliexpress, Surfshark, Fiverr для Windows-пользователей из определённых стран. При этом в коде обнаружены ID партнёрских программ, привязанные к аккаунтам злоумышленников. Однако эксперты предупреждают, что масштаб кампании позволяет использовать её и для гораздо более опасных целей. Получив контроль над браузером, злоумышленники могут читать содержимое страниц, перехватывать данные из HTTP-заголовков и кражу учётных данных.

Косвенные улики связывают эту кампанию с распространением фишинговых наборов. В сентябре 2024 года один из тех же скриптов был обнаружен на странице, имитирующей сайт канадского университета McGill, а в конце года - на подделке сайта швейцарских железных дорог SBB CFF FFS. В коде фишинговых наборов были найдены хэндлы (псевдонимы пользователей криминальных форумов), однако эксперты пока не готовы однозначно утверждать, что авторы расширений и фишинговых страниц - одни и те же люди.

Google был уведомлён о находке ещё в начале 2025 года. На момент публикации отчёта все 16 расширений удалены из официального каталога Chrome Web Store. Однако удаление из магазина не приводит к автоматическому удалению с устройств пользователей. Тем, кто может быть пострадавшим, необходимо вручную удалить подозрительные расширения в настройках браузера и очистить данные посещённых страниц.

Этот случай стал ещё одним напоминанием о том, что даже широко распространённые и проверенные расширения могут в любой момент превратиться в угрозу. Особенно опасно, когда разработчик передаёт контроль над расширением третьим лицам. Вредоносный код, работающий внутри браузера, крайне трудно обнаружить традиционными антивирусными средствами, так как его активность очень похожа на обычную работу программ и быстро исчезает из памяти. Для бизнеса это означает необходимость пересмотра политик использования браузерных дополнений, а для обычных пользователей - простой, но эффективный совет не давать расширениям разрешение на чтение и изменение данных на всех сайтах без крайней необходимости.

Domains

• abfc-extension.com
• abu-xt.com
• adblockforytextension.com
• blipshotextension.com
• colorchanger.net
• emojikeyboardextension.com
• emojikeyboardforchrome.com
• kproxyservers.site
• nimblecapture.com
• noadsadblocker.com
• pagerefresh-extension.com
• sdmextension.com
• themesforytextension.com
• watoolkit.com
• wistiaextension.com
• ytvideoeffectsextension.com

Extension

• mdaboflcmhejfihjcbmdiebgfchigjcf Blipshot: one click full page screenshots
• gaoflciahikhligngeccdecgfjngejlh Emojis - Emoji Keyboard
• fedimamkpgiemhacbdhkkaihgofncola WAToolkit
• jlhgcomgldfapimdboelilfcipigkgik Color Changer for YouTube
• jdjldbengpgdcfkljfdmakdgmfpneldd Video Effects for YouTube And Audio Enhancer
• deljjimclpnhngmikaiiodgggdniaooh Themes for Chrome and YouTube™ Picture in Picture
• giaoehhefkmchjbbdnahgeppblbdejmj Mike Adblock für Chrome | Chrome-Werbeblocker
• hmooaemjmediafeacjplpbpenjnpcneg Page Refresh
• acbiaofoeebeinacmcknopaikmecdehl Wistia Video Downloader
• nlgphodeccebbcnkgmokeegopgpnjfkc Super dark mode
• fbcgkphadgmbalmlklhbdagcicajenei Emoji keyboard emojis for chrome
• alplpnakfeabeiebipdmaenpmbgknjce Adblocker for Chrome - NoAds
• ogcaehilgakehloljjmajoempaflmdci Adblock for You
• onomjaelhagjjojbkcafidnepbfkpnee Adblock for Chrome
• bpconcjcammlapcogcnnelfmaeghhagj Nimble capture
• gdocgbfmddcfnlnpmnghmjicjognhonm KProxy