Вредоносное расширение RolyPoly VPN: «бесплатный» VPN превращается в инструмент шпионажа

Схожесть с детской игрушкой-неваляшкой, которая всегда возвращается в исходное положение, точно описывает поведение этих расширений и стоящих за ними злоумышленников. Данная кампания наглядно демонстрирует риски использования «бесплатных» расширений, особенно тех, которые запрашивают доступ к чувствительным данным. Кроме того, она подчеркивает необходимость непрерывного мониторинга и анализа поведения расширений для своевременного обнаружения вредоносной активности.

Бесплатные VPN-расширения обещают пользователям конфиденциальность, высокую скорость и глобальный доступ в интернет в один клик. Для миллионов людей они становятся простым способом обойти ограничения или скрыть IP-адрес без покупки платной подписки. Однако за такими обещаниями часто скрывается серьезный компромисс: если продукт бесплатный, то ваши данные становятся товаром.

За последние несколько лет группа расширений для Chrome, рекламирующих услуги «Free Unlimited VPN», собрала более 9 миллионов установок. Их названия, иконки и описания выглядели абсолютно легитимно и профессионально. Тем не менее за этим чистым фасадом скрывался глубоко внедренный вредоносный код. Расширения оставались доступными в Chrome Web Store почти шесть лет, прежде чем были помечены и удалены в мае 2025 года.

Всего через два месяца в магазине появилось третье расширение, практически идентичное по описанию, стилю иконки и внутреннему поведению. На момент публикации отчета оно все еще доступно для установки.

Эти расширения делали значительно больше, чем просто проксирование сетевых запросов. Они загружали скрытые конфигурационные файлы с удаленных серверов, изменяли настройки прокси в реальном времени и перехватывали события навигации в браузере, функционируя как удаленно управляемые прокси-редректоры со скрытыми каналами обновления. То, что выглядело как простой бесплатный VPN, на практике оказывалось полноценным механизмом наблюдения на уровне браузера.

В случае установки такие расширения могли перехватывать и перенаправлять каждую посещаемую страницу, собирать данные о браузинге и списке установленных расширений, а также модифицировать или отключать другие прокси-инструменты и средства безопасности. Кроме того, они маршрутизировали трафик через контролируемые злоумышленниками серверы, подвергая приватную активность пользователей потенциальному наблюдению.

Технический анализ выявил несколько ключевых механизмов работы вредоносных расширений. Во-первых, они переопределяли стандартные методы JavaScript, такие как String.prototype.trim, для скрытного деобфускации и выполнения удаленных URL. Во-вторых, расширения периодически запрашивали многокомпонентные конфигурации с удаленных серверов, что позволяло обновлять их поведение и полезную нагрузку (payload) без взаимодействия с пользователем.

Одним из наиболее опасных механизмов была установка удаленного PAC-скрипта (Proxy Auto-Config), который загружался из внешней конфигурации и позволял злоумышленникам маршрутизировать весь трафик пользователя через контролируемые серверы. Это открывало возможности для пассивного мониторинга, активного внедрения кода, кражи учетных данных и целевой замены контента.

Расширения также регистрировали слушатель событий chrome.webRequest.onBeforeRequest для всех URL, что позволяло им перехватывать каждую загрузку страницы и перенаправлять вкладки на адреса, указанные в удаленной конфигурации. Для сохранения контроля в фоне использовалась инжекция keepalive-скриптов в активные вкладки, что позволяло обойти ограничения Manifest V3 на выгрузку фоновых процессов.

Новая версия расширения, опубликованная 21 июля 2025 года, стала еще более продвинутой и скрытной. В частности, она добавила двухсекундную задержку перед активацией прокси, вероятно, для обхода песочниц и анализаторов поведения. Кроме того, расширение получило возможность отключать другие прокси-расширения, обеспечивая эксклюзивный контроль над маршрутизацией трафика.

Дополнительные риски включали эксфильтрацию данных: расширение собирало список установленных расширений и хэши посещенных URL, периодически отправляя их на командно-контрольные серверы для профилирования и целевых атак. Использование динамических правил Declarative Net Request (DNR) позволяло операторам изменять фильтрацию и маршрутизацию на лету, без необходимости обновления самого расширения.

Эти расширения наглядно демонстрируют, как доверенное браузерное дополнение может превратиться в удаленно управляемую прокси-систему. За шесть лет два почти идентичных «бесплатных VPN» скрытно перенаправляли трафик, обновляли свое поведение через скрытые каналы и похищали пользовательские данные перед удалением. Появление третьего клона всего через два месяца после их устранения показывает, что даже инструменты, рекламируемые как средства защиты приватности, могут стать долгосрочными инструментами наблюдения при наличии широких разрешений и минимальной проверки.

В ходе расследования исследователи также обнаружили шесть дополнительных расширения с почти идентичным поведением, которые позиционировались как блокировщики рекламы и загрузчики музыки.

Для минимизации рисков пользователям рекомендуется немедленно удалить любые расширения, соответствующие приведенным индикаторам компрометации (IOC). Также следует очистить куки, локальное хранилище и любые сохраненные учетные данные, которые могли быть перехвачены во время активности расширения. Критически важно сменить пароли для чувствительных учетных записей, особенно если входы выполнялись через браузер при активном расширении. Дополнительно рекомендуется провести антивирусное сканирование.

Организациям и SOC-командам (Security Operations Center) следует заблокировать идентифицированные домены поддержки и C2-хосты на периметре сети, проанализировать телеметрию на предмет установки расширений и изменений PAC-настроек, а также отозвать сессии критических сервисов, если трафик проходил через контролируемые злоумышленниками серверы. Важно уведомить пользователей и при необходимости выполнить сброс профилей браузеров. Кроме того, необходимо сообщить о вредоносных расширениях в Chrome Web Store с подробным описанием индикаторов и доказательств.

Domains

• adsblocker.top
• configanalytics.icu
• configapp.top
• dialspeed.xyz
• facebook.adscleaner.top
• free-vpn.pro
• okmusic.cyou
• procompany.top
• proffconfig.top
• vpn-professional.company
• yandexmusic.pro

Emails

• admin@free-vpn.pro
• andreylebedev.ext@gmail.com
• facebook@adscleaner.top
• okmusic.pro@yandex.ru
• support@adsblocker.top
• support@free-vpn.pro
• support@yandexmusic.pro
• victorbthomas6@gmail.com

Extension IDs

• anlhakiodmebohjmkbciohpglnjifjaa
• bibjcjfmgapbfoljiojpipaooddpkpai
• fgpecemjbefkjlcgnhjohdonijdkfooj
• foiopecknacmiihiocgdjgbjokkpkohc
• hfofhoffdcfcjgmilkpnhkamcgemaban
• ibibeegnncapfdcgpdnnbjbbojglhlmk
• kekfppnajjchccpkfaogiomfcncbgagc
• ngahaphlngmdfhbhkplbglnfhehnpgdb
• nhiafglcjghpmcipelflfhkckdpcokid

Names / branding

• "VPN Professional – Free Secure and Unlimited VPN Proxy Chrome Extension"
• "VPN-free.pro – Free Unlimited VPN"
• "Free Unlimited VPN"
• "VPN Professional – Free Unlimited VPN Proxy"
• "Ads Blocker"
• "OKmusic – скачать музыку и видео Одноклассники | OK.ru Music Downloader"
• "Ads Cleaner for Facebook"
• "Speed Dial | Bookmarks | New Tab Page | Quick Access | Custom Search"
• "Скачать музыку" ("Download Music")