Теневая угроза: вредоносные расширения браузеров обманывали миллионы пользователей пять лет

Исследование началось с публикации компании Koi Security в декабре 2025 года, посвящённой расширению для Firefox под названием GhostPoster. Его ключевой особенностью стал изощрённый метод доставки вредоносного кода (полезной нагрузки, payload) с помощью стеганографии в PNG-файле иконки. Такой подход позволил зловреду избежать обнаружения как при автоматической проверке магазинов расширений, так и при статическом анализе традиционными средствами безопасности.

Последующий анализ инфраструктуры выявил ещё 17 расширений, связанных с одной и той же группой злоумышленников и использующих схожие тактики, техники и процедуры (TTPs). Все они демонстрировали общие признаки: сложную обфускацию кода, отложенную активацию на 48 часов и более, а также связь с одними и теми же командными серверами (C2). Кампания, судя по всему, началась с Microsoft Edge, а затем расширилась на Firefox и Chrome.

Технический механизм работы был многоступенчатым и нацеленным на скрытность и устойчивость (persistence). Первоначальный загрузчик скрывался в данных PNG-иконки. После установки расширение извлекало скрытую информацию, что нехарактерно для обычной логики дополнений. Затем следовала пауза, после которой загрузчик обращался к удалённому серверу для получения основного JavaScript-кода.

Активированный вредоносный код обладал широким спектром возможностей. Он мог модифицировать и внедрять HTTP-заголовки, ослабляя такие политики безопасности, как CSP и HSTS. Кроме того, он занимался перехватом партнёрского трафика для монетизации, внедрением скрытых iframe и скриптов для кликового мошенничества и отслеживания пользователей, а также автоматическим решением CAPTCHA для дальнейших атак.

Обнаруженная инфраструктура указывает на финансовую мотивацию и высокий технический уровень операторов. Они не только долго оставались незамеченными, но и экспериментировали с методами доставки. В частности, был выявлен более сложный вариант, установленный 3822 раза. В этой версии вредоносная логика была встроена в фоновый скрипт расширения.

На этапе выполнения этот скрипт анализировал ресурсы расширения, находил изображение и сканировал его байтовую последовательность в поисках маркера '>>>>'. Все данные после этого маркера декодировались и сохранялись в локальном хранилище браузера. Позже они извлекались, декодировались из Base64 и исполнялись как дополнительный JavaScript-код. Этот вторичный скрипт вводил новую меру скрытности - он "засыпал" примерно на пять дней перед началом сетевой активности, что ещё больше затрудняло поведенческий анализ.

Несмотря на то, что Mozilla и Microsoft уже удалили известные вредоносные расширения из своих магазинов, установленные экземпляры остаются активными на компьютерах пользователей. Это подчёркивает ключевую проблему: удаление из магазина не является полным решением, особенно когда вредонос использует отложенную активацию и модульную доставку полезной нагрузки. Пользователям необходимо вручную проверять и очищать список установленных расширений. Эксперты рекомендуют устанавливать дополнения только из официальных источников, внимательно изучать отзывы и разрешения, а также регулярно проводить аудит уже установленных плагинов.