Главная страница » Индикаторы компрометации
0
23 часа
Индикаторы компрометации

Как библиотека Mellowtel превращает браузеры в ботнеты: угрозы безопасности и скрытые риски

information security

Недавно стало известно о новой угрозе, связанной с библиотекой Mellowtel, которая превращает браузерные расширения в инструменты для распределённого веб-скрапинга. Это открывает дверь для масштабных кибератак, ставя под угрозу конфиденциальность и безопасность миллионов пользователей. Что скрывается за этой технологией и какие риски она несёт для бизнеса и обычных людей?

Описание

Браузерные расширения давно стали неотъемлемой частью цифровой жизни. Они повышают удобство работы в интернете, но некоторые разработчики сталкиваются с проблемой монетизации своих продуктов. В ответ на это появились сервисы, предлагающие «монетизацию как услугу», и одним из них стала библиотека Mellowtel. На первый взгляд, она позволяет разработчикам зарабатывать на «неиспользуемой полосе пропускания» пользователей. Однако на практике всё оказывается гораздо опаснее.

Как работает Mellowtel?

Библиотека Mellowtel внедряется в расширения через npm-пакет и требует минимальных изменений в манифесте. Разработчикам предлагается добавить разрешения declarativeNetRequest и доступ ко всем URL, что уже вызывает вопросы. Пользователи, устанавливающие такие расширения, даже не подозревают, что их устройства превращаются в узлы распределённой сети для сбора данных.

После активации Mellowtel устанавливает WebSocket-соединение с сервером и начинает получать команды. В фоновом режиме расширение загружает скрытые iframe с указанными сайтами, извлекает их содержимое и отправляет обратно. Чтобы обойти защитные механизмы, библиотека динамически отключает критически важные HTTP-заголовки, такие как Content-Security-Policy и X-Frame-Options, что делает пользователей уязвимыми к межсайтовому скриптингу (XSS) и другим атакам.

Кто стоит за Mellowtel?

Исследование показало, что Mellowtel тесно связана с компанией Olostep, предлагающей API для веб-скрапинга. Основатель Olostep, Арслан Али, также упоминается как создатель Mellowtel. Это создаёт подозрения, что библиотека используется для скрытого сбора данных в интересах коммерческого сервиса. Более того, некоторые расширения, такие как «Idle Forest», позиционирующиеся как экологически дружелюбные, на самом деле являются частью этой схемы, маскируя свою деятельность под благие цели.

Риски для корпораций и пользователей

  1. Несанкционированные веб-запросы. Устройства сотрудников могут неожиданно отправлять запросы к подозрительным ресурсам, что может быть воспринято корпоративными системами защиты как угроза.
  2. Доступ к закрытым сетям. Если устройство подключено к корпоративному VPN, злоумышленники могут получить доступ к внутренним ресурсам компании.
  3. Злоупотребление сервисами. Mellowtel может использоваться киберпреступниками для скрытия атак, поскольку запросы идут с реальных устройств, что затрудняет их обнаружение.
  4. Ослабление защиты. Отключение HTTP-заголовков открывает пользователей для атак, которые обычно блокируются стандартными механизмами безопасности.

Реакция платформ и перспективы

Google и Mozilla начали удалять расширения с Mellowtel, помечая их как вредоносные. Однако более сотни таких дополнений всё ещё активны в Edge и Firefox, охватывая почти миллион пользователей. Пока неизвестно, будут ли приняты более жёсткие меры для предотвращения подобных схем.

Вывод

Mellowtel демонстрирует, как благие намерения разработчиков могут быть использованы для создания скрытых ботнетов. Эта ситуация подчёркивает важность проверки расширений перед установкой и необходимость усиления контроля со стороны платформ. Компаниям стоит обратить внимание на подобные угрозы и внедрять системы мониторинга, способные выявлять подозрительную активность в корпоративных сетях.

Безопасность в цифровую эпоху требует не только технологических решений, но и осознанности пользователей. Устанавливая даже самые безобидные на вид расширения, стоит задуматься: что на самом деле происходит в фоновом режиме?

Индикаторы компрометации

Domains

  • request.mellow.tel
  • 5xpb4fkh75h5s4vngnzy6oowcy0cgahe.lambda-url.us-east-1.on.aws
  • afcha2nmzsir4rr4zbta4tyy6e0fxjix.lambda-url.us-east-1.on.aws
  • mjkrxoav2cqz3dtgn6ttcyxeua0mqpul.lambda-url.us-east-1.on.aws
  • ti6sritai2y2cqwc23byo7iobm0vfpsg.lambda-url.us-east-1.on.aws
  • zuaq4uywadlj75qqkfns3bmoom0xpaiz.lambda-url.us-east-1.on.aws

Extension id

  • {0042603b-ea30-4ab0-9b6e-b9c01a1eb53e}
  • {035b1d11-b299-4535-a791-c2b05f4c0aef}
  • {1b13f7d0-640b-418e-8414-b65bcb131a9a}
  • {1dbd8a11-1d46-4c9a-93c9-0d93c779070e}
  • {20c7615d-bb19-4ad2-9f31-e16dce0256aa}
  • {26f159c9-b326-489f-832b-466b1b93b435}
  • {2e12f440-e238-4a54-a84a-7e64088bc10a}
  • {3a23b748-e1bb-453d-ab31-ad2ee472a0b1}
  • {3cc183ce-75c0-4661-bb0d-b933e72f50d8}
  • {3fc88d62-2573-4d57-95bb-cf5d2c00ceb8}
  • {45d980e3-fba2-47be-ac8d-feea3c902479}
  • {4ceb67de-792c-462a-912f-52a2a69712e2}
  • {522502e2-c13b-47bb-9703-b9a063633bfb}
  • {52e4d46b-83d5-41a8-bc9a-c55261bd29cf}
  • {55b60a44-ca57-4d8b-b78a-e7ed6d728f38}
  • {5f9861fa-6b08-4eff-b035-f448d0f3a2bc}
  • {63c8f677-7e9f-45eb-9a6b-adeda4e84e36}
  • {63f0a4af-4930-4984-8ba5-c84b95f11050}
  • {6777ac33-5603-4593-8d79-8305b232f03c}
  • {69ae5d28-477a-4440-a17f-64acb4744f45}
  • {6eb7e3bf-b1d5-4fb2-b259-06398ae4ab6d}
  • {6f2dce49-9451-4ffe-8674-6d6b694f7d29}
  • {8615a28c-b9e7-4ee5-ae29-0e98803189e7}
  • {86976773-7f4e-4458-a564-83ec3a97dc02}
  • {8e1110f1-a357-433a-9d6c-e1a7ae0b0759}
  • {8e3e0ecd-8d87-4227-bc20-1b354273a68a}
  • {94cae37b-a67f-467b-bd33-7f8d461dccb9}
  • {94e884cd-b14a-4fb8-8326-3b67522937aa}
  • {a82ee489-1b09-4d1f-9229-054fbc50edec}
  • {ac1e429d-9c01-416c-8055-f2bf93203e36}
  • {b556adfa-0416-4e32-b589-6bde4ca97d52}
  • {b9ce06ae-260a-4fbb-b213-c6d550ea31e4}
  • {bc661ab6-def4-4639-b7c6-02ace202cd01}
  • {cbdb3313-69ca-4e23-9e79-e02faba80b70}
  • {d0161a3a-64cd-430d-ad54-986003b40b73}
  • {d6b79e53-6445-46c3-ac8c-df380dbee03c}
  • {d8c16402-7cc6-4cf9-bb93-593bb560c93f}
  • {e1d38843-73b9-4ad9-93dc-10ba296bb3c0}
  • {f29833ad-b77f-4bb0-b6e0-c278fd59b208}
  • {f4b4b3b4-0b3b-4b3b-8b3b-0b3b4b3b4b3b}
  • {f64451a8-4cb4-4265-bbd2-15c1ba15b13a}
  • 2893004
  • 2905815
  • 3x-youtube-speed@extensions.local
  • aalojgjffdpebaannpdgfkmolmmiiklo
  • abdeckaickepaamefkpakipepimddaeb
  • achijedaedmldpeopkpiieaeffheaaoh
  • aeeajmdmmbbangihkblknmninccaplek
  • aelkemnoggddahakdhlcbelbnchhchio
  • afgmkpmpoloelcobclinhoimcokabail
  • afkcpfkhcghilbbicmgddigoopgojgdn
  • agfbhjilodaahfdkbhcomeiimpfceacl
  • ahgfcoomeihgjelddjilmkmopmhpnamg
  • akfcjdgckaflfjgamhmhnnfddmihdekp
  • akihjcolnehmoioambapecgekfmchfie
  • amnhjladmbagbabmlcjpkkgdnfliemlo
  • aomfcnpebghkaplecpkaafldgaoecgph
  • badboladjgiakjmgmccnmbbkpldempgi
  • bbobcnmcegmkheaimcepkmcmnaaomagn
  • bcdihcdhhamfecmpefbcbiaplnogekoj
  • bdiedbcfdkkmefpandffnjfihmkinchf
  • bfidbjdkblmkolhdajhnidfojkjmgcba
  • blaikanplfcahcohlomooanplhmajppn
  • blnickpabhjfpljiheppbabcjjankmfn
  • block-shorts-remove-youTube-shorts@extensions.local
  • blur-wapp-web@extension.com
  • bmpjlffjfcpkjhgfjgponabjhkfmjkcb
  • bncnpcfmnfndnbffpggadkdohijjejpj
  • brawlstarscursor@example.com
  • calculator@example.com
  • cbjbjjgipedbjgbamfodgihnfdlghcaf
  • cbjkmbeihihmidpjdooegedkhnhngfao
  • cbkelkngobidpcmogfoedoaecoehkohp
  • cccklibfpcangcakgpllhcohldgcginb
  • cdnallmmabdjinjfokimhdbneaobgfli
  • ceandjlhknhmihabonfegdojnldmjehh
  • cemmifilbjnnfldldefdakgljjloajhb
  • cfackchnhapooiihmealdedlppbolibg
  • cflkegaknjlbkobliabdjacadhofpiji
  • cilmbibadbppkohnkdbcmejhmdmlabho
  • cinfaflgbaachkaamaeglolofeahelkd
  • cjklkcpgnmdcnkepkndbmnajaibdmcaj
  • clearcache@example.com
  • cmdbkdiahkiphlnpibnkddacgdpkljbl
  • dachfcaldbicaifpocnbfbegdfmlklpk
  • daunknowncoder@gmail.com
  • dbmepknjadkcenndpddbolbgkhiplaka
  • dbpdhnmgaidebokpioijkmaafoaejlcg
  • deibhibcklbldcjciklbikflmlgmnkde
  • dicknhcbchmimnmpdaplbngfehabgjoa
  • didipembmlkcfgccdgignphchikejbne
  • digdgnbadaijlpnlakpfjghgkniegkep
  • dkcdaaijdiclcnaaladlklakcliggdlm
  • dlfkphnkccadlllenijjhcbbcehiokgi
  • dpgkoabcbhammonlefggnbfohnpinfci
  • dual-urlviewer@example.com
  • dual-url-viewer@example.com
  • eaapiedcdabfohedaijblhbjaoimfinm
  • eajefjhachnpgdhhbaidbjoocepadkbm
  • ebiepbbkmobnjbjoipacaafpmhkfbjhb
  • ebkcodigphapeabcgeaogdnbdhhdoddm
  • ecllgniioimapndpncajnecbeejedglh
  • editthiscookie@example.com
  • eejmklmmoncdghcbogdddmpekodcjpon
  • effgaiaekaedofcoglipagibfpfmoknp
  • ehkjgifilljoihfcpkkcnmafmiicgcjm
  • ehojmfncfieipmjpejhlhmockmncihcc
  • eiedgfhfokoeohnpnebcoimecjohkmih
  • eimpdejlojkpgghhmcpanfoflhhedfof
  • eknjllkcpifhpgckejmhnfgcpphoaopj
  • elickcmakpdpogmneepagkhcfeappaie
  • epdbcbnmblbimjdfkfbfoafnbnedonol
  • epghgjlfacgahggjlkjmncgbfajkonmk
  • epibngjigkhfnjpncanlpcnejdjldooh
  • epolnfbmalnpfodbjefpoloiiononjjd
  • fdgfplllcgcbbbmnodmhknldhnebhgmf
  • fekdakfodjlblnbdjeedhehnkcgmeeeb
  • ffbadbipmgjagpknkclknfjcfgecnekk
  • firefox@web-highlights.com
  • flclmbhnoaankfhdlfaeoifemaenioph
  • fmeglbmjbhmkhhakgpcpnmgiiododjem
  • fnhengimppoghfgjciajocpcckacpoah
  • fnjibmmifllmcpelbfdbnlemgdmgodcd
  • focus@getfocus.cc
  • fpcpghihjhaeiajnadkmjbmpoiagmaak
  • gadgjbkjjnchcfddakikflcnnlanjcfm
  • gdcikldkablicfibcmjfbodphcegnnep
  • gefidgokonfgjhpohodbjpcdhpjjogoh
  • gfejpdolamgpdddjppnmaemghjamhjgh
  • gfgpkepllngchpmcippidfhmbhlljhoo
  • gfmjhdlpaimlgohmeliphiohjkdkkmph
  • gfoalcnffabmgchajdbkgdkjfpmhgcla
  • ghgeeneoflfdcaohophjcbmpbgiplikk
  • gilnpfpbnekgghdffdelaoeinljiepcp
  • gilpapebkpgbficadjmkdlnfjoapfhge
  • gjecnhnpaajghbccopacnfaecgokpach
  • gkiknnlmdgcmhmncldcmmnhhdiakielc
  • glnpphmjaaoffnnafkamakbnoighjcpp
  • goidpkdddifelmieeilpjafhdgckmopp
  • gpcoipcajkkdcjedkgbceflnieihnejj
  • halbphimkmkdlmgoadclbikgaomejgmj
  • hbfeecobeakfpfdaehbgekiidmjcmgkn
  • hfoedabpkgjgjipebpbgfpflbbejhlcp
  • hglfgomcchoeihghpnfepnpjhgoklmag
  • hhneckfekhpegclkfhefepcjmcnmnpae
  • hjmoddkekkphhjfipobidjndnbmobcge
  • hjphbkkpncoacgoekmfdnocjpmniogko
  • hkenjnomghgpbnjnpamlifafddfhgjeh
  • hldjnlbobkdkghfidgoecgmklcemanhm
  • hmchkahopedklbojnnagghodambjkaef
  • hnlciiapajnhcocacgnfmneemcbbdoan
  • hogcbldgdbfobnhhokkfpfjmmggfembm
  • hpadlnghbnpjgapdmfhndhmdiopljbab
  • idleforest@idleforest.com
  • ihnnclopnkghkcpelggmfhccailcbnfk
  • ihofhgjeogbedcfnffcflopdopaniokn
  • iinkmgflcdngkkkmhdlnaghgdelagkhm
  • ilckdigdpkdhfdamddjniiignopilbbk
  • ilmapenodlchnhkhanlbmlapdkleggba
  • imjlmhlanacbloihkfdfldhbllhpbnim
  • imoajgcbhcdcdimgdodmeaggiafipbpo
  • inbiammbcenkclmbklggjmkmfaljphim
  • ioigofcahdakgejjoengngadnaklcoah
  • iongeplfghloclcadgfihmjjgmoibndj
  • ippleblihfkhdojcaebffkjdkfcgefbf
  • jafbklibhbclgclhncimgdbmniebopji
  • jfgidfaemmdbbgbndcfgdpempfbfgjaj
  • jfnjmnapkhdbaidedlbdcmhiphfjljcd
  • jjbkbmkgnmaeiigagibagejclneokkpg
  • jkbjgfkhckkaimooidofonceelboopao
  • jkgaidaejbddmfmnliopmemkdbjjbkih
  • jkhcmjlhiehapiihbcdiinphaflicfal
  • jlkjogbeljmnajkendnokhlnnempdbld
  • jnfcnoaobkkicomefifaafoeofielaap
  • jngbedjpioeongcicaomeideeompcbcc
  • jnhgnpcccpgcilpjmfiapikbahllmcjp
  • jnlhaejplfkkncnnnghmhecbkffklcif
  • jpdhojcboimoahhhmpncfcnpnclbmjja
  • kanfgognpihcopojgbiplgjaooiijego
  • kgchabcipmdikhnegnaenfnjjpddknbh
  • kgncemlninnfpjeblgcjmjbepeekfomd
  • kidmnkgkinjfhjndejgblhcmlojcanpi
  • kkdcnlihpjcpciijkpggekoakidnledp
  • kkkchpochdffpabooeiagolafaeokfee
  • kmapmdmjbkanmmpbkldkdogahdpmaiab
  • kmcepcjfihfffhhjeomjhhgfdefoopde
  • lbcjfmnneeplggdgenmehnehhmiiokle
  • lcljcodnjmmncedmpnllhfnpdfjlaipg
  • lemnnndgbnpbjnkffpkejbbdnfnhelok
  • lgfdlglbceiapdadpelcnagblddndgjo
  • lgjebhldhklllbkkbfcfgibifbfcpepa
  • lhmhnienagdbkggbadphgjgepeiffiij
  • licgkjpeemloljfnlpkeacogcacncmfe
  • liemokcohacbbecdamaehkcnblogiglf
  • ljhenlbhcmnjipfkgcioddbjigmcegfb
  • lljedihjnnjjefafchaljkhbpfhfkdic
  • lofjnifmigfbegmifpdbiagdgfjdaijc
  • mbdpjpeomghgpbfahdmlahdiefplohjf
  • mdafbagdkmbhmfhebmliggkeaicnffjo
  • mdhdppioiemgjfkioaodnghpnnbkbfaj
  • mfpaldapfikdabokaopijmpimgeamdgh
  • mgmcbpgodifhemokkegfakhjigjidkgm
  • mjgaekhogpacemfalhobacccllecphfd
  • mkpjjkbpnjjfafjpaalgcfmbijgpeffn
  • modern-css-viewer@example.com
  • mpjeakdcffkpmcfamnmbjggejmanckho
  • nadngcbffnkmkkepfhholnckialgekdl
  • nfjcgjlllcahipplfdiooaimgpjpogjl
  • nhclljcpfmmaiojbhhnkpjcfmacfcian
  • nkmolpcjacfplmigaiooihdpkonhiijm
  • npoadmhehhbadhmecnafgbdmepfieedk
  • oadddajpbcfnnoomohfeddfefddlloao
  • oajalfneblkfiejoadecnmodfpnaeblh
  • oalkbgcmfkfndibikcflcleodpadencp
  • oaopobjihkenjndikcijbggffecapfhj
  • obfhoiefijlolgdmphcekifedagnkfjp
  • odebdafkpnmipmdangfpfbhdamhdocdb
  • ofdclafhpmccdddnmfalihgkahgiomjk
  • officialteespime@gmail.com
  • okgloekfefiicpgeecebhhecnbiadjpn
  • oleeoimkoapenmfoehimiolklamphcfo
  • ommmjoicncikgepbajhfaphfdamhjjfj
  • oomfbjadbdgddbapfdhbkmldeiimmhhf
  • oppkgpjlkclaoppejbhmmjinejbmdihd
  • panackibekmojemjaondcbdihgbmoona
  • paragraph-to-speech@example.com
  • paragrap-to-speech@example.com
  • pbdmodnichenhmnkcclangdeglfopdec
  • pdljihkfhfppffcapakcdgdfelpcnahg
  • pdpjgggphligfadakgaaoeohfnfengmf
  • pear104@coursera-tool
  • piheafhalbmhiaffagiaehdlnhgphcpd
  • pjdcpmdpcfgnacikjhblpbjjbahopfin
  • pjjohlbonpdebknjpjcpeeffilcbdhoc
  • pkcmndaaphbhlimbdmkffalnnedocmhg
  • python-browser@myaddon.local
  • showassword@example.com
  • sidea4es@example.com
  • sidea4mes@example.com
  • sidea4s@example.com
  • sideames@example.com
  • sidegames@example.com
  • simple-highlighter@yourdomain.com
  • urlextractor@yourdomain.com
  • ytbookmarker@example.com
Комментарии: 0
Похожие записи
0
23.09.2024
Индикаторы компрометации

Earth Baxia APT IOCs

security
Исследователи из Trend Micro сообщили, что Earth Baxia, вероятно, базирующаяся в Китае группа постоянных угроз (APT), атаковала правительственные и энергетические сектора Тайваня и других стран Азиатско-Тихоокеанского