Вредоносные расширения для Chrome крадут данные, маскируясь под Fortinet, YouTube, ИИ-помощники и VPN

В интернет-магазине Chrome распространяется более 100 вредоносных расширений, выдающих себя за легитимные инструменты — такие как VPN, ИИ-ассистенты и криптовалютные утилиты. Эти расширения похищают куки из браузера и тайно выполняют удаленные скрипты.

Хотя расширения частично выполняют обещанный функционал, они также подключаются к инфраструктуре злоумышленников, чтобы перехватывать данные пользователей или получать команды для выполнения. Кроме того, вредоносные расширения могут модифицировать сетевой трафик — показывать рекламу, перенаправлять пользователей или действовать как прокси.

Кампания была обнаружена специалистами по кибербезопасности из DomainTools, которые выявили более 100 поддельных доменов, рекламирующих эти инструменты, скорее всего, через вредоносную рекламу (malvertising).

Список от DomainTools включает более 100 вредоносных сайтов — среди них как полностью вымышленные VPN-бренды, так и подделки под известные компании, такие как Fortinet, YouTube, DeepSeek AI и Calendly:

• earthvpn[.]top
• irontunnel[.]world, iron-tunnel[.]com
• raccoon-vpn[.]world
• orchid-vpn[.]com
• soul-vpn[.]com
• forti-vpn[.]com, fortivnp[.]com
• debank-extension[.]world, debank[.]sbs, debank[.]click
• youtube-vision[.]com, youtube-vision[.]world
• deepseek-ai[.]link
• calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com
• whale-alerts[.]org, whale-alert[.]life
• madgicxads[.]world, madgicx-plus[.]com
• similar-net[.]com
• workfront-plus[.]com
• flight-radar[.]life

На этих сайтах размещены кнопки «Добавить в Chrome», ведущие на вредоносные расширения в официальном магазине Chrome, что усиливает ощущение легитимности.

Хотя Google удалил многие из обнаруженных расширений, некоторые из них все еще доступны в магазине.

Исследователи пояснили:

Многие вредоносные расширения были удалены из интернет-магазина Chrome после их идентификации. Однако настойчивость злоумышленников и задержки между обнаружением и удалением представляют угрозу для пользователей, ищущих инструменты для повышения продуктивности.

Хотя каждое расширение может выполнять разные задачи, почти все они запрашивают опасные разрешения — доступ к куки, включая сессионные токены, проведение фишинга через DOM и динамическое внедрение скриптов.

Например, расширение fortivpn крадет куки, действует как прокси-сервер, изменяет сетевой трафик и выполняет произвольные JavaScript-скрипты с удаленного сервера.

В отчете сообщается:

По команде используется метод chrome.cookies.getAll({}) для получения всех куки, затем данные сжимаются их с помощью pako, кодируется в Base64 и отправляются на сервер злоумышленников infograph[.]top.

Также возможна установка WebSocket-соединения для проксирования трафика и его перенаправления через вредоносные серверы. Цель прокси и авторизация управляются через команды от сервера.

Риски установки таких расширений включают захват аккаунтов, кражу личных данных и слежку за действиями в браузере. По сути, они открывают злоумышленникам бэкдор в браузере жертвы, предоставляя широкие возможности для эксплуатации.

Кроме того, украденные сессионные куки могут быть использованы для взлома корпоративных VPN или аккаунтов, что представляет серьезную угрозу для бизнеса.

Чтобы минимизировать риск установки вредоносных расширений, загружайте их только от проверенных разработчиков с хорошей репутацией и внимательно читайте отзывы пользователей.