Chrome-расширения предназначены для повышения удобства работы браузера, однако за последние годы они стали одним из наиболее уязвимых каналов для кибератак. Недавние исследования показали, что две популярные расширения, размещённые в официальном магазине Chrome Web Store, использовались злоумышленниками для сбора личной информации пользователей в течение нескольких лет.
Детали события и суть обнаружения
Исследователи из компании Socket выявили два расширения, называвшиеся «Phantom Shuttle», которые позиционировались как инструменты для маршрутизации трафика и тестирования скорости интернета (по данным Bleeping Computer). Обе версии были опубликованы одним разработчиком и предназначались для иностранных торговых работников, нуждающихся в проверке соединения из разных регионов. Расширения продавались по подписке с ценами от 1,40 до 13,60 долларов. Несмотря на кажущуюся безобидность, за сценой они выполняли вредоносные функции.
Механизм работы вредоносных расширений и сбор данных
Socket сообщили, что «Phantom Shuttle» перенаправляли весь веб-трафик через прокси-серверы, управляемые злоумышленниками. Встроенные в расширение учетные данные были зашифрованы с использованием уникальной схемы кодирования, что усложняло их обнаружение. После активации расширения оно перехватывало HTTP-запросы, включая формы для ввода логинов, паролей, данных кредитных карт, cookies и API-токенов. Для постоянного маршрутизации трафика расширение динамически перенастраивало настройки Chrome через автоконфигурационный скрипт.
Реакция и устранение угрозы
Компания Google подтвердили, что оба расширения были удалены из Chrome Web Store после обращения CyberGuy. Эти расширения использовали уязвимости для скрытой деятельности, что делало их особенно опасными. Важно отметить, что такие расширения могут оставаться незаметными для пользователя, пока не будет обнаружена активная вредоносная деятельность.
Позиции сторон и комментарии
Представитель Google заявил: «После получения информации о вредоносной активности расширений, они были немедленно удалены из магазина». В то же время, эксперты подчеркивают, что злоумышленники продолжают искать новые уязвимые расширения, маскируя их под легитимные инструменты для тестирования сети.
Контекст и возможные последствия
Обнаружение этих расширений подтверждает важность регулярной проверки установленных дополнений в браузере и внимательного отношения к их разрешениям. Угрозы такого типа могут привести к утечке личных данных, финансовой информации и компрометации учетных записей. Пользователям рекомендуется удалять ненужные расширения и использовать антивирусное программное обеспечение для дополнительной защиты. В будущем подобные инциденты подчеркивают необходимость повышения кибербезопасности и внимательного контроля со стороны разработчиков и платформ.
—
Обратите внимание, что несмотря на наличие подобных угроз, официальные магазины расширений предпринимают меры по удалению вредоносных дополнений, однако пользователи должны самостоятельно следить за безопасностью своего браузера.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты