В экосистеме информационной безопасности угроза, исходящая от скомпрометированных расширений для браузеров, давно перестала быть теоретической. Однако недавний инцидент с расширением ShotBird демонстрирует новый уровень опасности, когда изначально безвредный инструмент после смены владельца превратился в полноценный канал удалённого управления, объединив атаку в браузере с компрометацией конечной точки. Этот случай подчёркивает критическую уязвимость цепочки поставок расширений и сложность обнаружения многоэтапных атак, начинающихся с, казалось бы, доверенного источника.
Описание
Расширение ShotBird, изначально представленное как инструмент для создания скриншотов с прокруткой и редактирования изображений для Twitter, было запущено в ноябре 2024 года. К январю 2025 года оно даже получило статус "Featured" (Рекомендуемое) в Chrome Web Store, что повышало его доверие в глазах пользователей. Поворотный момент наступил между декабрём 2025 и мартом 2026 года, когда произошла смена контактного email разработчика в магазине расширений. Именно после этого, как показывают данные, расширение начало проявлять вредоносную активность. Отчёт, опубликованный независимым исследователем, детально описывает механизм работы угрозы.
Технический анализ выявил чётко выстроенную двухвекторную цепочку атаки. На первом этапе, внутри браузера, скомпрометированное расширение действовало как шлюз для удалённого управления. После установки оно отправляло маячки на управляющую инфраструктуру злоумышленников, используя эндпоинты, такие как "/extensions/setup". Затем оно регулярно опрашивало сервер через "/extensions/callback", получая и исполняя JavaScript-задачи, доставляемые в ответ. Эти задачи включали в себя несколько семейств вредоносных действий. Во-первых, расширение активно снимало важные заголовки безопасности, такие как Content-Security-Policy (CSP) и X-Frame-Options, с помощью механизма декларативных сетевых запросов ("rules.json"). Это позволяло беспрепятственно внедрять скрипты на защищённые страницы.
Во-вторых, оно внедряло в просматриваемые пользователем сайты фишинговые интерфейсы, имитирующие срочные обновления Chrome. Эти интерфейсы, загружаемые с удалённого домена "ggl.lat", динамически адаптировались под тёмную или светлую тему системы жертвы для большей убедительности. В-третьих, в фоновом режиме работал "сборщик" данных, который перехватывал ввод в поля форм, ища ключевые слова, связанные с учётными данными, платёжными реквизитами и персональными данными. Собранная информация отправлялась на сервер через POST-запросы к "/extensions/finish".
Второй вектор атаки представлял собой мост от браузера к операционной системе. В зависимости от режима, выбранного оператором, жертве либо предлагалось скопировать и выполнить команду PowerShell, либо скачать исполняемый файл под видом обновления. В наблюдаемом сценарии пользователь загружал файл "googleupdate.exe". Статический анализ этого файла показал хитрую уловку: это был установочный пакет WiX Burn, содержащий как легитимный, подписанный Google, установщик Chrome ("ChromeSetup.exe"), так и вредоносный компонент "psfx.msi". При запуске "psfx.msi" исполнял закодированную команду PowerShell, которая, будучи декодированной, предписывала системе загрузить и выполнить код с удалённого домена "orangewater00.com".
Ключевое доказательство реальной компрометации было получено из журналов Windows. Включённое ведение логов PowerShell (Event ID 4104) позволило восстановить сценарий второй стадии атаки, который выполнялся после загрузки с "orangewater00.com". Этот скрипт демонстрировал серьёзные намерения злоумышленников. Он содержал логику для подавления трассировки ETW (Event Tracing for Windows), что затрудняет обнаружение средствами мониторинга. Далее, он обращался к диспетчеру учётных данных Windows (Credential Manager) и целенаправленно искал и извлекал данные из браузеров на основе Chromium, такие как файлы "Login Data" и "Web Data", которые хранят пароли и информацию автозаполнения. В завершение, в скрипте присутствовала логика для упаковки и отправки похищенной информации.
Примечательно, что исследователи обнаружили прямые параллели с другой недавней кампанией, задокументированной компанией Annex Security в феврале 2026 года, которая затрагивала расширение QuickLens. Сходства включают идентичную архитектуру командного центра с теми же эндпоинтами ("/setup", "/callback", "/finish"), использование "rules.json" для удаления заголовков безопасности и тот же вектор заражения через передачу прав собственности на легитимное расширение. Это позволяет предположить работу одной группы угроз, эксплуатирующей несколько скомпрометированных расширений одновременно по схожей схеме.
Для специалистов по безопасности этот инцидент служит суровым напоминанием о нескольких ключевых рисках. Во-первых, цепочка поставок расширений для браузеров остаётся слабым звеном, так как передача прав собственности может остаться незамеченной. Во-вторых, угроза эволюционировала от простого показа рекламы или майнинга криптовалюты к сложным многоэтапным операциям, ведущим к полной компрометации конечных точек. В-третьих, злоумышленники активно используют методы обфускации, такие как сочетание легитимного и вредоносного кода в одном пакете, чтобы обойти базовые проверки. В качестве практических рекомендаций компаниям следует пересмотреть политики использования расширений, разрешая только предварительно одобренные и корпоративно управляемые дополнения. Мониторинг сетевой активности на предмет обращений к подозрительным доменам, а также анализ журналов PowerShell на предмет выполнения закодированных команд или подавления ETW могут помочь в выявлении подобных инцидентов. Для обычных пользователей лучшей защитой остаётся крайняя осторожность при установке расширений, даже из официального магазина, и внимание к любым неожиданным запросам на скачивание файлов или выполнение команд, особенно под предлогом срочных обновлений.
Индикаторы компрометации
Extension ID
- gengfhhkjekmlejbhmmopegofnoifnjp
Developer Email (current, post-transfer)
- loraprice198865@gmail.com
Developer Email (pre-transfer, Dec 2025 archive)
- akshayanuonline@gmail.com
API Host
- api.getextensionanalytics.top
Remote Content Host
- ggl.lat
Decoded Stage Domain (psfx.msi)
- orangewater00.com (DNS A: 185.178.231.112)
Lookalike Domain in Command Flow
- update.chrome.google.com
Payload URL Observed
- https://baysideceu.com/wp-content/uploads/googleupdate.exe
Trace Endpoint in Logic
- https://1.1.1.1/cdn-cgi/trace
Outer Payload SHA256
- E8D2ED43386B322DA02C1CFCAEFEBD88D6B470D6CD11F02C20712CF1E8FD8413
Embedded ChromeSetup.exe SHA256
- 2BD2FB9D75BC7D0F90597BDB451A7B9B1A5441D632CD43201D45B46900E6DF81
Embedded psfx.msi SHA256
- 0DB5D0DC85E06108179FD0C15D69FB40FCBC478B241FAB16F11C25E93A5F3DC7
Related Campaign C2
- api.extensionanalyticspro.top
