Новая волна вредоносных расширений Firefox: кража токенов OAuth и скрытый шпионаж в игровой маскировке

Ядро угрозы составляет кластер поддельных игровых расширений, созданных злоумышленником под псевдонимом mre1903, активным с 2018 года. Эти дополнения мимикрируют под хиты вроде Little Alchemy 2, Five Nights at Freddy’s и 1v1.LOL, используя узнаваемость брендов для обхода подозрений. При установке они немедленно запускают скрипт перенаправления на мошеннические сайты - от казино до фальшивых страниц с вирусными предупреждениями Apple. Например, код в background.js принудительно открывает popup-окно с адресом funformathgame[.]com, где пользователей встречают сообщения о несуществующих угрозах вроде "ошибки 0x800VDS" и предложения позвонить на поддельные службы поддержки. Такая тактика основана на эффекте неожиданности: жертва, ожидающая запуска игры, психологически unprepared к проверке подлинности предупреждений, что увеличивает успешность фишинга.

За пределами игрового кластера обнаружены три специализированных расширения с уникальными разрушительными функциями.

Расширение GimmeGimme, позиционируемое как помощник для шопинга в европейских маркетплейсах (bol.com, coolblue.nl), тайно внедряет партнерские ссылки через систему перехвата сессий. Его скрипт в фоновом режиме заменяет URL на аффилиатные версии load-content.site, присваивая злоумышленникам комиссионные с покупок.

Более опасен VPN Grab A Proxy Free: под видом инструмента приватности он внедряет невидимые iframe-трекеры с нулевой прозрачностью и принудительно направляет весь трафик через прокси-серверы злоумышленников. Это не только позволяет перехватывать пароли и банковские данные, но и намеренно понижает защиту HTTPS-соединений, облегчая MITM-атаки.

Наиболее критичная угроза - CalSyncMaster, маскирующийся под синхронизатор Google Calendar. Он злоупотребляет доверием к OAuth-протоколу: после запроса разрешения на доступ к календарю расширение перехватывает токен доступа и отправляет его на сервер polar-shore-05125-b49ae913d73c[.]herokuapp[.]com. Хотя сейчас расширение запрашивает права только на чтение, этого достаточно для сбора конфиденциальных данных - встреч, командировок, деловых контактов. Архитектура позволяет мгновенно расширить привилегии до уровня редактирования, что открывает путь к саботажу или шантажу. Угроза усугубляется долгосрочной активностью токенов: доступ сохраняется, пока пользователь вручную не отзовет разрешения.

Браузерные расширения остаются ахиллесовой пятой кибербезопасности из-за их привилегированного доступа к данным и слабого контроля со стороны магазинов. Обнаруженная серия атак - лишь верхушка айсберга: переход от навязчивой рекламы к хищению OAuth-токенов и прокси-шпионажу указывает на профессионализацию киберпреступников. Пользователям нельзя полагаться на репутацию платформ - Mozilla, Google и Microsoft непрерывно удаляют вредоносный контент, но злоумышленники адаптируются быстрее. Только сочетание технических мер (брандмауэры, анализаторы трафика) и поведенческой осторожности (отказ от установки непроверенных расширений) может снизить риски. В условиях, когда игровое дополнение способно поставить под угрозу корпоративный календарь, а "бесплатный VPN" превращается в троян, тотальный скепсис становится новой нормой цифровой гигиены.

Domains

• funformathgame.com
• polar-shore-05125-b49ae913d73c.herokuapp.com

Malicious Extensions

• CalSyncMaster
• VPN - Grab a Proxy - Free
• GimmeGimme
• Five Nights at Freddy’s
• Little Alchemy 2
• Bubble Spinner
• 1v1.LOL
• Krunker io Game