Расширение VK Styles для Chrome перехватывало управление профилями в соцсети VK

Специалисты по кибербезопасности из команды Koi обнаружили масштабную вредоносную кампанию, направленную на пользователей социальной сети VK (VK.com). Сеть из пяти расширений для браузера Google Chrome, суммарно насчитывающая более 502 000 установок, использовалась для скрытого управления аккаунтами жертв.

Центральным элементом атаки стало расширение «VK Styles», позиционируемое как инструмент для изменения тем оформления и улучшения интерфейса социальной сети. На момент удаления из интернет-магазина Chrome 6 февраля оно имело около 400 000 загрузок. Вредоносное ПО действовало с июня 2025 года по январь 2026 года, регулярно получая обновления.

Механизм перехвата управления

Анализ кода показал, что расширения не просто демонстрировали рекламу, а выполняли активные манипуляции с профилями пользователей. Основные функции вредоносного ПО включали:

• Автоматическая подписка: При каждом посещении VK с вероятностью 75% расширение подписывало пользователя на группу злоумышленников (ID 168874636). Это сообщество, замаскированное под официальную группу поддержки VK Styles, набрало 1,4 миллиона подписчиков, что создавало иллюзию легитимности.

• Сброс настроек: Каждые 30 дней вредоносный скрипт принудительно менял пользовательские настройки, возвращая сортировку ленты к значению «сначала недавние» и сбрасывая тему оформления сообщений.

• Обход защиты: ПО манипулировало токенами CSRF (файлы cookie remixsec_redir), что позволяло обходить механизмы безопасности VK и выполнять запросы от имени жертвы.

• Монетизация: Скрипты отслеживали статус донатов через VK Donut API, ограничивая доступ к функциям расширения в зависимости от оплаты.

Техническая реализация и маскировка

Злоумышленник, действующий под ником «2vk», выстроил сложную многоступенчатую схему, используя инфраструктуру самой социальной сети для управления зараженными устройствами (C2).

Изначально подозрение вызвал динамический расчет ID Яндекс.Метрики:

'R-A-' + 843079 * 2  // Evaluates to: R-A-1686158

Это позволяло избегать обнаружения статическими сканерами безопасности. Дальнейший анализ выявил, что расширение загружало вредоносный код, извлекая данные из мета-тегов специально созданного профиля VK (vk.com/m0nda).

4000 :: G2vk.github.io/-/ V1.0.250.69 Yan.yandex.ru/system/context.js Ayastatic.net/partner-code-bundles/ :

Детальный анализ HTML-кода выявленного профиля показал, что злоумышленник использовал мета-тег description как «тайник» (dead drop) для размещения адресов управляющей инфраструктуры. В коде страницы находилась строка, выглядящая как бессмысленный набор данных: 4000 :: G2vk.github.io/-/ V1.0.250.69. Однако при расшифровке выяснилось, что каждый префикс отвечал за конкретный ресурс: «G» указывал на репозиторий GitHub, «Y» и «A» — на скрипты Яндекса и рекламные библиотеки, а «V» обозначал актуальную версию вредоносного ПО.

Такой метод маскировки обеспечил атаке высокую устойчивость к обнаружению:

• Отсутствие жестко заданных адресов: В коде самого расширения не содержалось подозрительных ссылок, что позволяло обходить статические анализаторы.

• Динамическое обновление: Злоумышленник мог мгновенно менять источники загрузки вредоносного кода, просто редактируя описание профиля в социальной сети VK.

• Легитимность трафика: Все запросы шли к доверенному домену VK.com, не вызывая подозрений у сетевых экранов.

Алгоритм работы расширения заключался в скрытой загрузке профиля, парсинге мета-тегов для извлечения актуальных ссылок и последующей загрузке следующего этапа атаки с серверов GitHub.

История изменений файла показывает, что функциональность развивалась от простых API-оберток в июне 2025 года до внедрения механизмов принудительной подписки и сброса настроек к концу года.

Масштаб угрозы и индикаторы компрометации

География атаки охватила преимущественно русскоговорящих пользователей в России, Восточной Европе и Центральной Азии. Одно из расширений сети было удалено Google еще в 2024 году, однако злоумышленник продолжил деятельность, создав новые идентификаторы.

На данный момент выявлены следующие расширения, участвовавшие в кампании:

1. ceibjdigmfbbgcpkkdpmjokkokklodmc (400 000 установок, удалено) — основное расширение VK Styles.

2. mflibpdjoodmoppignjhciadahapkoch (80 000 установок, активно).

3. lgakkahjfibfgmacigibnhcgepajgfdb (20 000 установок, активно).

4. bndkfmmbidllaiccmpnbdonijmicaafn (2 000 установок, активно).

5. pcdgkgbadeggbnodegejccjffnoakcoh (2 000 установок, удалено).

Эксперты отмечают, что использование популярных социальных платформ в качестве инфраструктуры для командных серверов становится опасным трендом. Это позволяет вредоносному ПО оставаться незамеченным для традиционных средств защиты, так как сетевая активность не вызывает подозрений.