Под маской Madgicx Plus: злоумышленники атакуют рекламодателей Meta* через вредоносные расширения Chrome

Кампания активно использует профессионально созданные домены, часть из которых ранее уже применялась в других мошеннических схемах. Это указывает на склонность злоумышленников повторно использовать инфраструктуру, адаптируя методы социальной инженерии под новые цели. Для сокрытия реального местоположения серверов злоумышленники используют Cloudflare, однако анализ favicon-хэшей и данные открытых источников, таких как Shodan, позволили раскрыть настоящие IP-адреса.

Среди идентифицированных доменов, используемых в качестве приманки, значатся privacy-shield[.]world, madgicxads[.]world, madgicx-plus[.]com и другие. Важно отметить, что компания Madgicx, являющаяся законным разработчиком рекламных технологий, не имеет никакого отношения к этой деятельности - её бренд используется исключительно для придания усточивости мошеннической схеме.

Расширение запрашивает у пользователей широкие права, включая доступ ко всем посещаемым сайтам, возможность перехватывать и изменять сетевой трафик, а также внедрять собственные скрипты на любые веб-страницы. Это позволяет злоумышленникам обходить механизмы безопасности, такие как политика CSP (Content Security Policy), и получать доступ к конфиденциальным данным, включая токены сессий и учетные записи.

Динамический анализ показал, что после установки расширение сохраняет данные учётной записи Google в локальное хранилище, а затем запрашивает подключение к Facebook*, что демонстрирует многоэтапную стратегию атаки. Взаимодействие с внешним сервером madgicx-plus[.]com указывает на наличие командного центра, используемого для управления вредоносной активностью.

Повторное использование инфраструктуры и техническая сложность расширения свидетельствуют о том, что кампания является частью масштабных и развивающихся усилий злоумышленников по компрометации рекламных аккаунтов. Эксперты рекомендуют проявлять осторожность при установке непроверенных расшишений, особенно тех, которые предлагают инструменты для работы с рекламой, и регулярно проверять список установленных в браузере дополнений.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

IPv4

• 185.245.104.195

Extension

• Lure Domain: https://madgicx-plus.com
• Extension Name: madgicx-plus-the-superapp
• Extension ID: eoalbaojjblgndkffciljmiddhgjdldh
• CWS: https://chromewebstore.google.com/detail/madgicx-plus-the-superapp/eoalbaojjblgndkffciljmiddhgjdldh
• Extension Filename: eoalbaojjblgndkffciljmiddhgjdldh.crx
• Extension File Sha256: eaebd30ad9860b54b076c3e1241fc59c2c7c86c7bf568c4a6fece9cda904e65c

Meta Ads SuperTool

• Lure Domain: https://madgicxads.world
• Extension Name: meta-ads-supertool
• Extension ID: cpigbbjhchinhpamicodkkcpihjjjlia
• CWS: https://chromewebstore.google.com/detail/meta-ads-supertool/cpigbbjhchinhpamicodkkcpihjjjlia
• Extension Filename: cpigbbjhchinhpamicodkkcpihjjjlia.crx
• Extension File Sha256: 7640907d54d5d76a25d19429968ff6b1d8fdae232b481df15d3cc47d1a224083

Madgicx Lure Websites (Targeting):

• https://privacy-shield.world
• https://madgicxads.world
• https://madgicx-plus.com
• https://cookie-whitelist.com
• https://madgicxads.world
• https://ad-guardian.world
• https://ad-seeker.world
• https://safesurf.world
• https://siteanalyzer.world
• https://webinsight.world
• https://www.orchid-vpn.com
• https://www.key-stat.com
• https://www.clonewebstat.com
• https://www.flight-radar.life
• https://www.calendly-daily.com
• https://www.web-radar.world
• https://www.safesurf.world
• https://www.web-radar.world
• https://www.safesurf.world
• https://www.similarweb.one
• https://www.webwatch.world