За фальшивыми VPN-расширениями для Chrome обнаружили сеть прокси-серверов

Суть угрозы проста, но опасна. Пользователь, желающий защитить своё интернет-соединение, ищет в интернет-магазине Chrome надёжное VPN-решение. Вместо официальных приложений известных брендов он натыкается на расширение с похожим названием и значком. Установив его, жертва полагает, что её трафик теперь зашифрован и анонимен. На деле расширение не предоставляет никакого реального шифрования. Вся активность пользователя - все посещённые сайты, введённые пароли и данные кредитных карт - проходит через пятнадцать жёстко заданных SOCKS5-прокси (протокол передачи данных через прокси-сервер, поддерживающий аутентификацию). Этими прокси управляет злоумышленник, который может перехватывать, читать или модифицировать любой HTTP-трафик. Более того, после установки расширение без согласия пользователя открывает сайт sverchtun[.]store - фиктивную страницу, якобы связанную с монетизацией, но на деле лишь отвлекающую внимание.

Анализ кода расширений показал, что все они используют одинаковую архитектуру. В служебном сценарии service worker JavaScript жёстко прописан один и тот же список серверов. Различия касаются только имён переменных и шаблонов оформления - это явная попытка запутать автоматические системы поиска. Злоумышленник создал три различных шаблона кода, но все они выполняют одну и ту же последовательность: вызывают chrome.proxy.settings.set() с настройками SOCKS5 и сохраняют текущий сервер в памяти. Фактическая защита отсутствует.

Особую тревогу вызывает то, что мошенники пошли на прямой обман пользователей. Как минимум четыре расширения маскируются под известные бренды: AdGuard VPN, Proton VPN, BrowSec VPN и HideMyName VPN. Иконки, названия и описания тщательно копируют оригиналы, чтобы ввести в заблуждение тех, кто ищет проверенные инструменты приватности. Такая тактика говорит о высоком уровне организованности - атакующий не просто рассылает спам, а целенаправленно охотится на людей, уже осознающих важность защиты данных.

Это не единственная уловка. Для публикации расширений в Chrome Web Store злоумышленник завёл множество аккаунтов разработчиков. Используются такие адреса электронной почты, как ezagirace763[at]gmail.com и huepahoca[at]gmail.com. Каждый такой аккаунт выпускает несколько поддельных расширений. Такая схема усложняет блокировку: даже если Google удалит одну учётную запись, остаются другие. За три месяца - с февраля по 18 мая 2026 года - было последовательно создано несколько волн таких расширений. Это не разовая акция, а постоянная операция с систематическим обновлением "продукции".

Исследователи, обнаружившие эту сеть, обратили внимание на несколько особенностей, указывающих на применение искусственного интеллекта. В составе расширений найден файл ARCHITECTURE.md, что обычно не встречается в любительских поделках. Код чрезмерно избыточен: переменные названы по единой, но неестественной системе, а сами расширения создавались серийно в течение нескольких месяцев. Такой подход характерен для генерации с помощью больших языковых моделей. Злоумышленник, вероятно, использовал AI-инструменты, чтобы автоматизировать создание тысяч вариантов кода, каждый раз меняя незначительные детали, но сохраняя основную вредоносную логику.

Каковы последствия для пользователя, установившего такое расширение? Во-первых, все его интернет-соединения становятся полностью прозрачными для атакующего. Каждый посещённый URL, каждая отправленная форма входа на сайтах без шифрования HTTPS (хотя таких всё меньше) оказывается в руках злоумышленника. Во-вторых, поскольку нет настоящего VPN-туннеля, трафик может быть изменён на лету. Например, на страницу банковского перевода можно подставить другой номер счёта. В-третьих, даже при использовании HTTPS злоумышленник видит метаданные - какие сайты посещает пользователь, сколько времени на них проводит. Эту информацию можно использовать для шантажа, фишинга или продажи конкурентам.

Отдельно стоит отметить происхождение кода. Анализ комментариев, строковых констант и имён функций свидетельствует о русскоязычном авторе. Это не обязательно означает, что атака поддерживается государством, но указывает на региональную принадлежность разработчика. В сочетании с прокси-серверами, которые, вероятно, расположены в нескольких юрисдикциях, это делает отслеживание злоумышленника крайне сложным.

Что делать пользователям? Прежде всего, скачивать расширения только из официальных магазинов и внимательно смотреть на название разработчика. Если расширение имитирует известный бренд, но аккаунт разработчика имеет странное имя или мало отзывов, это тревожный сигнал. Лучше устанавливать VPN-клиенты, которые поставляются в виде полноценных программ, а не браузерных расширений, или хотя бы выбирать только те расширения, которые опубликованы напрямую компанией-разработчиком (например, официальное расширение Proton VPN, а не его копию). На корпоративном уровне стоит внедрить блокировку установки расширений из непроверенных источников через корпоративные политики Chrome.

Этот случай - яркий пример того, как современные технологии, включая искусственный интеллект, позволяют злоумышленникам создавать массовые и убедительные фишинговые кампании. Борьба с ними требует не только технических мер со стороны Google, но и повышения цифровой грамотности пользователей. Простая установка расширения ради "анонимности" может обернуться полной потерей конфиденциальности.

Domains

• sverchtun.store

Chrome Extensions

• kfhghjkddbnaphdgnajhenaacpekbdmg
• mocbcncbleebmmnmhafgppnaocmpafne
• oapdfflamjpbpphjjlmejjgljiiajkcf
• jageecdigmlcciccgcbifiidgfoafjke
• jjbjcelpjgagfgdpobjkpjnkhffmnlda
• cmfbmehojkikkfdellcpieaapccgemdl
• beadcellenlepfbkpoggklacilaealbb
• bmmklkcamkknmajnhcmigbhgpahapodk
• cjdafpdojamncegfmbconlicklgepidc
• emnggacgjccpjhphgochediffoijlokc
• iooeakemgpdekfapiejcmolppjfggide
• ppiakigckgnocnmoenndpgbehmccapjb