Главная страница » Индикаторы компрометации
0
5 часов
Индикаторы компрометации

Крупная кампания вредоносных расширений в Chrome Web Store крадёт данные 20 тысяч пользователей

information security

Исследователи компании Socket обнаружили масштабную скоординированную кампанию, в рамках которой в официальном магазине Chrome Web Store распространяются 108 вредоносных расширений для браузера. Все они связаны с единой инфраструктурой командного центра и под видом полезных утилит и игр похищают учётные данные, сессии популярных сервисов и личную информацию пользователей. На момент публикации отчёта расширения всё ещё доступны для установки, а общее число их пользователей оценивается примерно в 20 тысяч.

Описание

Кампания примечательна своим размахом и разнообразием вредоносных функций, упакованных в, казалось бы, безобидные приложения. Расширения маскируются под клиенты для Telegram, казино-игры, "улучшатели" для YouTube и TikTok, инструменты для перевода текста и утилиты для работы со страницами. Они опубликованы под пятью разными именами издателей - Yana Project, GameGen, SideGames, Rodeo Games и InterAlt, - что создаёт видимость легитимности и разнообразия. Однако технический анализ показал, что все они управляются одним оператором и отправляют похищенные данные на одни и те же серверы, расположенные на домене cloudapi[.]stream.

Угрозы, которые несут эти расширения, варьируются. Пятьдесят четыре из них предназначены для кражи идентификаторов учётных записей Google. При первом нажатии пользователем кнопки входа расширение, используя стандартный OAuth2-запрос, получает токен и затем отправляет на сервер злоумышленника электронную почту, имя, ссылку на аватар и уникальный постоянный идентификатор аккаунта (sub). Это даёт оператору устойчивый профиль жертвы, который не меняется даже при смене пароля.

Наиболее опасным признано расширение "Telegram Multi-account". Оно активно похищает сессию пользователя в веб-версии Telegram, отправляя её на сервер злоумышленника каждые 15 секунд. Более того, код позволяет оператору дистанционно подменить сессию жертвы на любую другую, фактически захватывая аккаунт без ведома владельца. Второе похожее расширение, "Web Client for Telegram - Teleside", содержит всю подготовленную инфраструктуру для кражи сессий, но активный вредоносный код в текущей версии пока отсутствует, что указывает на потенциал для будущих атак.

Отдельную тревогу вызывает универсальная бэкдор-функция loadInfo(), обнаруженная в 45 расширениях. При каждом запуске браузера она связывается с сервером и, получив от него URL, автоматически открывает эту страницу в новой вкладке без какого-либо взаимодействия с пользователем. Это создаёт канал для скрытого перенаправления жертв на фишинговые сайты, страницы с эксплойтами или рекламные ресурсы. Аналогично, 78 расширений содержат код для внедрения произвольного HTML-контента, получаемого с C2-сервера, прямо в свой интерфейс, что также является вектором для дополнительных атак.

Пять расширений, включая те, что работают с YouTube и TikTok, используют мощный API браузера declarativeNetRequest для систематического удаления ключевых заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options, с целевых сайтов. Это ослабляет защиту страниц и открывает возможности для межсайтового скриптинга (XSS) и других атак. Некоторые из этих расширений также внедряют в интерфейс рекламные баннеры, ведущие на сторонние игровые сайты.

Вся инфраструктура кампании централизована. Все расширения используют один сервер (144[.]126[.]135[.]238) и домен cloudapi[.]stream с множеством поддоменов для разных задач: кражи сессий, сбора идентификаторов, показа рекламы и работы API. Наличие платежного портала topup[.]cloudapi[.]stream и системы учёта пользователей (user_id) в backend-системе указывает на модель "вредоносное ПО как услуга" (Malware-as-a-Service, MaaS), где доступ к похищенным данным могут приобретать другие злоумышленники.

Несмотря на использование пяти разных имён издателей, технические следы однозначно указывают на единого оператора. Все 54 расширения, крадущие данные Google, используют OAuth2 client IDs всего из двух проектов в Google Cloud, что практически невозможно без общего контроля. В коде расширений встречаются комментарии на русском языке, а в контактных данных фигурируют электронные почты, содержащие варианты фамилии "Надеждин".

Кампания является грубым нарушением политик Chrome Web Store. Расширения заявляют в описании, что не используют данные пользователей в посторонних целях, что прямо противоречит их реальному функционалу. Использование OAuth-токенов для отправки профиля на сторонний сервер нарушает политику Google Limited Use. Внедрение рекламы без раскрытия этой информации также идёт вразрез с правилами магазина.

Для пользователей, которые могли установить подобные расширения, последствия уже наступили. Те, кто авторизовывался через Google, раскрыли свой постоянный идентификатор и данные профиля. Пользователи расширения для Telegram рискуют полной компрометацией своего мессенджера. Любой, у кого установлено расширение с бэкдором loadInfo(), при каждом запуске браузера подвергается риску скрытого перенаправления на вредоносные ресурсы.

Исследователи компании Socket уже направили запросы на удаление (takedown) в команду безопасности Chrome Web Store и в Google Safe Browsing. Однако до тех пор, пока расширения остаются в магазине, угроза сохраняется. Этот инцидент в очередной раз подчёркивает, что даже официальные маркетплейсы не являются гарантией безопасности, и установка любого расширения, особенно запрашивающего широкие разрешения, должна сопровождаться тщательной проверкой его репутации и отзывов.

Индикаторы компрометации

IPv4

  • 144.126.135.238

Domains

  • api.cloudapi.stream
  • cdn.cloudapi.stream
  • chat.cloudapi.stream
  • cloudapi.stream
  • coin-miner.cloudapi.stream
  • crm.cloudapi.stream
  • gamewss.cloudapi.stream
  • goldminer.cloudapi.stream
  • herculessportslegend.cloudapi.stream
  • metal.cloudapi.stream
  • mines.cloudapi.stream
  • multiaccount.cloudapi.stream
  • tg.cloudapi.stream
  • top.rodeo
  • topup.cloudapi.stream
  • wheel.cloudapi.stream

URLs

  • api.cloudapi.stream:8443/Register
  • api.cloudapi.stream:8443/Translation
  • cloudapi.stream/install/
  • cloudapi.stream/uninstall/
  • mines.cloudapi.stream/auth_google
  • mines.cloudapi.stream/slot_test/
  • mines.cloudapi.stream/user_info
  • tg.cloudapi.stream/count_sessions.php
  • tg.cloudapi.stream/delete_session.php
  • tg.cloudapi.stream/get_session.php
  • tg.cloudapi.stream/get_sessions.php
  • tg.cloudapi.stream/save_session.php
  • tg.cloudapi.stream/save_title.php
  • top.rodeo/notify.php
  • top.rodeo/server/remote.php
  • top.rodeo/server/remote3.php

Emails

  • formatron.service@gmail.com
  • kiev3381917@gmail.com
  • nadejdinv@gmail.com
  • nashprom.info@gmail.com
  • slava.nadejdin.kiev@gmail.com
  • support@top.rodeo
  • viktornadiezhdin@gmail.com

Project Credentials

  • Google Cloud Project: 1096126762051
  • Google Cloud Project: 170835003632

Publisher name

  • Yana Project
  • GameGen
  • SideGames
  • Rodeo Games
  • InterAlt

Chrome Extension IDs

  • aecccajigpipkpioaidignbgbeekglkd - Web Client for Rugby Rush - SideGame
  • akebbllmckjphjiojeioooidhnddnplj - Formula Rush Racing Game
  • akifdnfipbeoonhoeabdicnlcdhghmpn - Piggy Prizes - Slot Machine
  • akkkopcadaalekbdgpdikhdablkgjagd - Slot Arabian
  • alkfljfjkpiccfgbeocbbjjladigcleg - Frogtastic
  • alllblhkgghelnejlggmmgjbkdabidie - Black Beard Slot Machine
  • amkkjdjjgiiamenbopfpdmjcleecjjgg - Indian - Slot Machine
  • amnaljnjmgajgajelnplfmidgjgbjfhe - Mahjong Deluxe
  • bbjdlbemjklojnbifkgameepcafflmem - Crazy Freekick
  • bdnanfggeppmkfhkgmpojkhanoplkacc - Slot Car Racing
  • bfoofgelpmalhcmedaaeogahlmbkopfd - Web Client for Youtube - SideYou
  • bgdkbjcdecedfoejdfgeafdodjgfohno - Clear Cache Plus
  • bnchgibgpgmlickioneccggfobljmhjc - Galactica Delux - Slot Machine
  • bpljfbcejldmgeoodnogeefaihjdgbam - Speed Test for Chrome - WiFi SpeedTest
  • cbfhnceafaenchbefokkngcbnejached - Web Client for TikTok
  • cbnekafldflkmngbgmbnfmchjaelnhem - Game SkySpeedster
  • cdpiopekjeonfjeocbfebemgocjciepp - Master Chess
  • cehdkmmfadpplgchnbjgdngdcjmhlfcc - Hockey Shootout
  • cljengcehefhflhoahaambmkknjekjib - Odds Of The Gods - Slot Machine
  • clpgopiimdjcilllcjncdkoeikkkcfbi - Billiards Pro
  • cmeoegkmpbpcoabhlklbamfeidebgmdf - Three Card Poker
  • cmlbghnlnbjkdgfjlegkbjmadpbmlgjb - Donuts - Slot Machine
  • cnibdhllkgidlgmaoanhkemjeklneolk - Archer - Slot Machine
  • cpnfioldnmhaihohppoaebillnambcgn - Rugby Rush
  • dbohcpohlgnhgjmfkakoniiplglpfhcb - Bingo
  • dcamdpfclondppklabgkfaofjccpioil - Web Client for game Cricket Batter Challenge
  • dljlpildgknddpnahppkihgodokfjbnd - Slot Machine Zeus Treasures
  • dlpiookhionidajbiopmaajeckifeehn - Horse Racing
  • dmaibhbbpmdihedidicfeigilkbobcog - Aztec - Slot Machine
  • dohenclhhdfljpjlnpjnephpccbdgmmb - Straight 4
  • dpdemambcedffmnkfmkephnhhnclmcio - Slot The Gold Pot
  • ejlcbfmhjbkgohopdkijfgggbikgbacb - American Roulette Royale
  • eljfpgehlncincemdmmnebmnlcmfamhm - Asia Slot
  • enmmilgindjmffoljaojkcgloakmloen - Web Client for game Drive Your Car
  • eoklnfefipnjfeknpmigmogeeepddcch - Jurassic Giants - Slot Machine
  • fddajeklkkggbnppabbhkdmnkdjindlo - Street Basketball
  • fibgndhgobbaaekmnneapojgkcehaeac - Tarot Side Panel
  • fjfhejmbhpabkacpoddjbcfandjoacmb - Dragon Slayer - Slot Machine
  • flkdjodmoefccepdihipjdlianmkmhgc - Best Blackjack
  • fmajpchoiahphjiligpmghnhmabolhoh - Book Of Magic - Slot Machine
  • gaafhblhbnkekenogcjniofhbicchlke - Snake - Slot Machine
  • gbaoddbbpompjhmilbgiaapkkakldlpc - Dice King - Classic Craps And Roll Game
  • gbhhgipmedccnankkjchgcidiigmioio - Slot Ramses
  • gfhcdakcnpahfdealajmhcapnhhablbp - Battleship War
  • gipmochingljoikdjakkdolfcbphmlom - Gold Miner 2
  • glofhphmolanicdaddgkmhfmjidjkaem - Greyhound Racing - Dog Race Simulator
  • haochenfmhglpholokliifmlpafilfdc - Hercules: Sports Legend
  • hbobdcfpgonejphpemijgjddanoipbkj - Flicking Soccer
  • hdmppejcahhppjhkncagagopecddokpi - Voodoo Magic - Slot Machine
  • heljkmdknlfhiecpknceodpbokeipigo - Web Client for Hockey Shootout - SideGame
  • hiofkndodabpioiheinoiojjobadpgmj - MASTER CHECKERS
  • hkbihmjhjmehlocilifheeaeiljabenb - Watercraft Rush
  • hlmdnedepbbihmbddepemmbkenbnoegd - Car Rush
  • hmlnefhgicedcmebmkjdcogieefbaagl - Video Poker Deuces Wild
  • hnpbijogiiaegambgpaenjbcbgaeimlf - Slot Machine Ultimate Soccer
  • ibelidmkbnjmmpjgfibbdbkamgcbnjdm - Christmas Eve - Slot Machine
  • ihbkmfoadnfjgkpdmgcboiehapkiflme - Columbus Voyage - Slot Machine
  • ijccacgjefefdpglhclnbpfjlcbagafm - High or Low Casino Game
  • ijfmkphjcogaealhjgijjfjlkpdhhojk - Goalkeeper Challenge
  • ijpgccpmogehkjhdmomckpkfcpbjlmnj - Tropical Beach - Slot Machine
  • imjmnghlhiimodfkdkgnfplhlobehnpm - BlackJack 3D
  • jddinhnhplibccfmniaakhffpjpnaglp - Web Client for game Classic Bowling
  • jmopjanoebpdbopigcbpjhiigmjolikk - Raging Zeus Mines
  • jnmmbmkmbkcccpihjgnhjmhhkokfdnfe - Classic Backgammon
  • jodocbbdcdclkhjkibnlfhbmllcpfkfo - Slot Machine The Fruits
  • kahcolfecjbejjjadhjafmihdnifonjf - Baccarat
  • kblomapfkjidbbbdllmofkcakcenkmec - Mini Golf World
  • kbmindomjiejdikjaagfdbdfpnlanobi - Gold Rush - Slot Machine
  • kbnkkecifeppobnemkielnpagifkobki - Pirat Slot
  • kjnakdbpijigdbfepipnbafnhbcfdkga - 40 Imperial Crown - Slot Machine
  • kknakidneabpfgepadgpkibalcnabnnh - 3D Soccer Slot Machine
  • klglejfbdeipgklgaepnodpjcnhaihkd - Premium Horse Racing
  • kmiidcaojgeepjlccoalkdimgpfnbagj - Tanks Game
  • lcijkepobdokkgmefebkiejhealgblle - Caribbean Stud Poker
  • ldmnhdllijbchflpbmnlgndfnlgmkgif - Page Locker
  • lefndgfmmbdklidbkeifpgclmpnhcilg - Wild Buffalo - Slot Machine
  • lfkknbmaifjomagejflmjklcmpadmmdg - Aqua - Slot Machine
  • ljbgkfbiifhpgpipepnfefijldolkhlm - Game Crypto Merge
  • lmcpbhamfpbonaenickjclacodolkbdl - Sherwood Forest - Slot Machine
  • lmgenhmehbcolpikplhkoelmagdhoojn - Web Client for game Fatboy Dream
  • lnajjhohknhgemncbaomjjjpmpdigedg - Page Auto Refresh
  • maeccdadgnadblfddcmanhpofobhgfme - Lone Star Jackpots - Slot Machine
  • mdcfennpfgkngnibjbpnpaafcjnhcjno - Web Client for Telegram - Teleside
  • medkneifmjcpgmmibfppjpfjbkgbgebl - Hidden Kitty Game
  • mheomooihiffmcgldolenemmplpgoahn - Keno
  • mmbbjakjlpmndjlbhihlddgcdppblpka - Jokers Bonanza - Slot Machine
  • mmbkmjmlnhocfcnjmbchmflamalekbnb - Penalty Kicks
  • mmecpiobcdbjkaijljohghhpfgngpjmk - YouSide - Youtube Sidebar
  • nbgligggjfgkpphhghhjdoiefbimgooc - Pai Gow Poker
  • ncpdkpcgmdhhnmcjgiiifdhefmekdcnf - Metal Calculator
  • ndajcmifndknmkckdcdefkpgcodciggk - Farm - Slot Machine
  • nelbpdjegmhhgpfcjclhdmkcglimkjpp - Rail Maze Puzzle
  • nkacmelgoeejhjgmmgflbcdhonpaplcg - RED DOG CARD GAME
  • nmegibgeklckejdlfhoadhhbgcdjnojb - Coin Miner 2
  • nodobilhjanebkafmpihkpoabiggnnfl - Black Ninja - Slot Machine
  • oanpifaoclmgmflmddlgkikfaggejobn - Pyramid Solitaire
  • obifanppcpchlehkjipahhphbcbjekfa - Telegram Multi-account
  • ocflhkadmmnlbieoiiekfcdcmjcfeahe - Chrome Client for Downhill Ski - SideGame
  • odeccdcabdffpebnfancpkepjeecempn - Slot Machine Mr Chicken
  • oejhnncfanbaogjlbknmlgjpleachclf - Web Client for French Roulette - SideGame
  • ogbaedmbbmmipljceodeimlckohbnfan - 3D Roulette Casino Game
  • ogogpebnagniggbnkbpjioobomdbmdcj - Text Translation
  • ojkbafekojdcedacileemekjdfdpkbkf - Slot Machine Space Adventure
  • pdgaknahllnfldmclpcllpieafkaibmf - Whack 'em All
  • peflgkmfmoijonfgcjdlpnnfdegnlaji - Video Poker Jacks or Better
  • phfkdailnomcbcknpdmokejhellbecjb - Swimming Pro
  • pkghgkfjhjghinikeanecbgjehojfhdg - InterAlt
  • pllkanemicadpcmkfodglahcocfdgkhj - Gold of Egypt - Slot Machine
Комментарии: 0
Похожие записи
0
17.10.2023
Индикаторы компрометации

Stayin' Alive Campaign IOCs

security
Компания Check Point Research отслеживает продолжающуюся кампанию под названием "Stayin' Alive", которая действует как минимум с 2021 года. Кампания действует в Азии, ориентируясь в основном на телекоммуникационную
0
20.03.2026
Уязвимости

Google выпускает экстренный патч для Chrome: 26 уязвимостей, включая три критических, угрожают удалённым выполнением кода

Google Chrome
В мире веб-браузеров, где безопасность является основой цифрового доверия, каждый критический патч - это не просто техническое обновление, а необходимое укрепление защитных рубежей.