Киберпреступники атакуют пользователей с помощью вредоносных расширений для Chrome под видом инструментов искусственного интеллекта. Эксперты по безопасности предупреждают о новой волне мошеннических дополнений для браузера, которые маскируются под популярные AI-сервисы, такие как ChatGPT, Llama, Perplexity и Claude. Их главная цель - перехват поисковых запросов пользователей и перенаправление трафика на контролируемые злоумышленниками домены с последующим отслеживанием активности.
Описание
Специалисты компании Palo Alto Networks зафиксировали значительный рост количества подобных угроз, о чем ранее сообщалось в августе. Зловредные расширения используют уловку, позволяющую пользователям вводить промпты (текстовые запросы) прямо в адресную строку Chrome, создавая видимость удобства и функциональности. Однако вместо обработки запросов легитимными AI-моделями эти дополнения тайно перенаправляют все введенные данные на мошеннические сайты. Механизм работы основан на манипуляции настройками браузера через ключ "chrome_settings_overrides" в манифесте расширения, что позволяет злоумышленникам подменять поисковую систему по умолчанию.
Среди доменов, используемых для перехвата трафика, идентифицированных экспертами Unit42, значатся chatgptforchrome[.]com, dinershtein[.]com и gen-ai-search[.]com. Активность не является абсолютно новой: еще в 2023 году было обнаружено расширение под названием "AI ChatGPT", связанное с доменом chatgptforchrome[.]com. На тот момент им успели воспользоваться около 15 800 человек. Анализ кода показал, что расширение содержало обфусцированный JavaScript, предназначенный для кражи учетных данных пользователей Facebook*. Нынешняя кампания демонстрирует преемственность методов: обнаружено новое расширение-перехватчик под названием "Chat AI for Chrom", которое связано с тем же самым доменом chatgptforchrome[.]com.
Распространение вредоносного ПО происходит через схожие каналы. Злоумышленники активно используют YouTube для рекламы поддельных расширений, заманивая пользователей видео с инструкциями по установке «уникальных» и «удобных» AI-инструментов. Такая тактика социальной инженерии рассчитана на растущий интерес широкой аудитории к технологиям искусственного интеллекта и желание получить быстрый доступ к их возможностям. Пользователи, устанавливающие подобные расширения, часто даже не подозревают, что их поисковая активность, личные запросы и потенциально конфиденциальная информация становятся достоянием киберпреступников.
Угроза представляет собой часть более общей тенденции, при которой злоумышленники активно эксплуатируют популярность AI-технологий для проведения фишинговых атак, распространения программ-вымогателей (ransomware) и сбора данных. Подмена поисковых запросов - это лишь один из векторов атаки. Получив возможность перенаправлять трафик, злоумышленники могут также внедрять на посещаемые пользователем сайты дополнительный вредоносный контент, показывать рекламу или проводить более сложные многоэтапные атаки.
Для рядовых пользователей основная рекомендация остается неизменной - проявлять максимальную бдительность при установке любых расширений для браузера. Следует загружать дополнения только из официального магазина Chrome Web Store, внимательно изучать отзывы, количество установок и разрешения, которые запрашивает расширение. Особенно подозрительными должны казаться дополнения, предлагающие функционал, дублирующий возможности официальных приложений от известных компаний, но при этом имеющие небольшой срок существования и малоизвестного разработчика.
Ситуация с поддельными AI-расширениями наглядно показывает, как быстро киберпреступники адаптируют свои методы под актуальные технологические тренды. По мере того как искусственный интеллект продолжает проникать в повседневную жизнь, можно ожидать дальнейшего усложнения и увеличения количества подобных атак. Бдительность и применение комплексных мер безопасности становятся не просто рекомендацией, а необходимостью для защиты личных и корпоративных данных.
* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
Индикаторы компрометации
Domains
- chatgptforchrome.com
- dinershtein.com
- gen-ai-search.com
Extensions IDs
- akfnjopjnnemejchppfpomhnejoiiini (Claude search)
- boofekcjiojcpcehaldjhjfhcienopme (AI ChatGPT - previously reported)
- bpeheoocinjpbchkmddjdaiafjkgdgoi (ChatGPT for Chrome, AI extension for Chrome)
- ecimcibolpbgimkehmclafnifblhmkkb (Perplexity Search)
- jhhjbaicgmecddbaobeobkikgmfffaeg (Chat AI for Chrome)
- jijilhfkldabicahgkmgjgladmggnkpb (GenAISearch)
- lnjebiohklcphainmilcdoakkbjlkdpn (ChatGPT Search)
- pjcfmnfappcoomegbhlaahhddnhnapeb (Meta Llama Search)
