В последние годы расширения для браузеров стали неотъемлемой частью цифрового опыта миллионов пользователей по всему миру. Они упрощают работу, добавляют полезные функции и делают пользование интернетом более комфортным и продуктивным. Однако недавние события вокруг Chrome Web Store показывают, что за удобством может скрываться угроза безопасности, способная нанести ущерб огромному количеству пользователей. Специалисты компании Koi Security выявили в официальном магазине Chrome Web Store 11 вредоносных расширений, которые суммарно были установлены более 1,7 миллиона раз. Эти дополнения маскировались под привычные и востребованные инструменты, что помогало им оставаться незамеченными длительное время и завоёвывать доверие пользователей.
Анализ кампании, названной RedDirection, показал, что большинство из вредоносных расширений действительно предоставляли заявленные функции — подбор цвета, VPN, управление громкостью, клавиатуру с эмодзи. Такое сочетание полезных функций и фона вредоносной активности позволяли им оставаться в магазинах браузеров и обманывать даже внимательных пользователей. Исследователи установили, что основная вредоносная активность реализована через Chrome Extensions API на уровне фонового сервис-воркера. Там был настроен специальный слушатель, который срабатывал каждый раз при загрузке новой веб-страницы, перехватывал URL и отправлял его вместе с уникальным идентификатором пользователя на удалённый сервер. Это позволяло замаскированным злоумышленникам отслеживать активность каждого пользователя и потенциально направлять на опасные сайты с вредоносным содержимым или мошенническими предложениями.
Наряду с этим редиректы не были зафиксированы во время тестов компании, что предполагает использование более изощрённых методов слежки и сбора данных. Важно отметить, что в ранних версиях указанных расширений вредоносного кода не было. Вместо этого он появился через обновления, а некоторые расширения оставались почти безвредными в течение нескольких лет. Такая практика позволяет предположить взлом расширений или захват их управления третьими лицами, которые и внедрили малварь. Если учесть популярность некоторых названий, таких как Color Picker, Emoji keyboard online, Video Speed Controller или VPN-сервисов под видом Unblock Discord и Unlock TikTok, становится понятно, почему так много пользователей подверглись риску.
Некоторые из них имеют сотни положительных отзывов и обладают верификацией в магазине, что ещё больше снижало подозрения. Помимо Chrome, специалисты выявили похожие угрозы и для браузера Microsoft Edge. Там подсчитали восемь вредоносных расширений, установленных более 600 тысяч раз. Среди них — аналогичные по названиям и функциям продукты для разблокировки TikTok, усиления громкости, эмуляции Flash Player и даже интеграции ChatGPT в поисковую систему. Суммарно эти 18 расширений заразили свыше 2,3 миллиона пользователей двух популярных браузеров.
Масштабы кампании поражают, а ее успешность объясняется особенностями процесса автопатчинга расширений в браузерах Google и Microsoft, благодаря чему вредоносные обновления устанавливались незаметно и быстро. Пользователи, пользуясь привычными расширениями, даже не догадывались, что их действия отслеживаются, а данные — передаются злоумышленникам. Эта ситуация подчёркивает важность критического восприятия при установке дополнений и необходимости регулярных проверок уже установленных инструментов. Эксперты настоятельно рекомендуют удалить все перечисленные в отчётах Koi Security расширения, чтобы минимизировать риск компрометации данных. Кроме того, рекомендуют очистить историю браузера и проверить операционную систему на наличие вредоносного ПО с помощью антивирусов и специализированных утилит.
Важно также внимательно следить за подозрительной активностью в аккаунтах и сменить пароли, если есть вероятность утечки. Для предотвращения подобных инцидентов в будущем стоит отдавать предпочтение расширениям с большим количеством качественных отзывов, проверять права доступа и скачивать только с доверенных источников. Применение надежных решений для защиты в браузерах, таких как режимы приватности, блокировщики трекеров и расширения для контроля доступа к данным, поможет снижать вероятность установки опасных дополнений. Инцидент с вредоносными расширениями из Chrome Web Store стал одним из крупнейших примеров массовых атак на браузеры, демонстрируя, насколько важна безопасность и бдительность при работе в интернете. Современный пользователь обязан осознавать риски и своевременно обновлять свои знания о методах атак и способах защиты, ведь браузер сегодня — это первая линия обороны в цифровом пространстве.
Только сознательность, регулярный мониторинг и использование комплексных профилактических мер помогут сохранить персональные данные в безопасности и обеспечить комфортное и безопасное взаимодействие с цифровыми сервисами.
