Специалисты по кибербезопасности раскрыли масштабную сеть из 108 вредоносных расширений для Google Chrome, охотившихся за данными пользователей Gmail, YouTube, Telegram и TikTok. На момент обнаружения угрозы суммарное число установок превысило 20 тысяч, а опасный софт продолжал оставаться в официальном магазине Chrome Web Store.
Единый центр управления и тактика захвата
Эксперты выяснили, что за всеми вредоносными программами стоит общая инфраструктура. Злоумышленники действовали хитро: они публиковали расширения от имени разных разработчиков, чтобы не привлекать лишнего внимания. Половина найденных инструментов была нацелена на кражу учетных данных Google через протокол OAuth2, а еще 45 расширений содержали бэкдор, который позволял преступникам удаленно открывать любые ссылки при запуске браузера.
От рекламы на YouTube до перехвата Telegram
Функционал вредоносов оказался на редкость разнообразным. Часть расширений отключала защиту YouTube, чтобы принудительно встраивать свою рекламу, другие внедряли посторонние скрипты на каждую открытую страницу. Одно из самых опасных расширений каждые 15 секунд воровало активные сессии в веб-версии Telegram. Не обошли стороной и TikTok — там хакеры также отключали заголовки безопасности. Кроме того, исследователи обнаружили инструмент для перевода текста, который пересылал все запросы пользователя прямиком на сервер злоумышленников.
Реакция платформы и способы защиты
Хотя запросы на удаление опасного софта уже направлены в службы безопасности Google, многие расширения из списка все еще могут быть активны. Представители компании заверяют, что постоянно мониторят магазин и проверяют код перед публикацией. В Google напоминают: если расширение признано угрозой, браузер выведет предупреждение на странице управления дополнениями. Чтобы обезопасить себя, пользователям стоит заглянуть в настройки безопасности своего аккаунта и провести ревизию установленных инструментов.
Почему это системная проблема
История с Chrome — лишь часть глобального тренда. Ранее киберпреступники уже похищали миллионы долларов, взламывая популярные криптокошельки или выкупая легитимные расширения у разработчиков, чтобы превратить их в шпионское ПО. Подобные инциденты фиксируют и в других браузерах, например в Firefox. В текущей кампании злоумышленники сделали ставку на централизацию: единый сервер управления позволял им незаметно собирать досье на пользователей и следить за их активностью в сети.
