Ново разследване на Socket разкри мащабна операция, включваща над 100 зловредни разширения в Google Chrome Web Store. Кампанията използва обща инфраструктура за управление (C2) и цели кражба на чувствителни данни, отвличане на сесии и монетизация чрез измами с реклами.
Разширенията са публикувани под различни фалшиви издатели и се маскират като:
- Telegram странични клиенти
- Игри (слотове, Keno)
- Подобрители за YouTube и TikTok
- Инструменти за превод и помощни приложения
Централизирана инфраструктура и MaaS модел
Анализът показва, че всички компоненти са свързани чрез централен бекенд, хостван на VPS услуга на Contabo. Поддомейни управляват различни етапи на атаката:
- Кражба на сесии
- Събиране на идентификационни данни
- Изпълнение на команди
- Монетизация
Наличието на руски коментари в кода подсказва вероятна връзка с malware-as-a-service (MaaS) операция.
Основни техники на атаката
Кражба на OAuth2 токени и лични данни
Част от разширенията използват функцията:
chrome.identity.getAuthToken
Чрез нея се извличат:
- Имейл адрес
- Потребителско име
- Профилна снимка
- Google ID
- OAuth2 Bearer токен
Google OAuth2 токените позволяват на приложения да действат от името на потребителя, което ги прави изключително ценна цел за атакуващите.
Инжектиране на зловреден код
Най-голямата група (78 разширения) използва:
innerHTMLза инжектиране на зловредно съдържание в интерфейса
Това позволява:
- Подмяна на визуални елементи
- Фишинг атаки директно в браузъра
- Манипулация на потребителското поведение
Вградени бекдори
Около 45 разширения съдържат скрита функция, която:
- Стартира автоматично при отваряне на браузъра
- Комуникира със C2 сървъра
- Изпълнява команди без знанието на потребителя
- Отваря произволни URL адреси
Отвличане на Telegram сесии
Най-опасният вариант атакува Telegram Web, като:
- Извлича сесийни данни от
localStorage - Копира токени на сесии
- Изпраща информацията към атакуващите на всеки 15 секунди
Още по-притеснително:
- Може да подмени сесията на жертвата с друга, контролирана от атакуващия
- Това става без никакво взаимодействие от страна на потребителя
Допълнителни злонамерени функции
Открити са и разширения, които:
- Премахват защитни HTTP заглавки
- Инжектират реклами в YouTube и TikTok
- Пренасочват заявки за превод през зловредни сървъри
Реакция и текущ статус
От Socket са уведомили Google за кампанията, но към момента на публикуване на доклада:
- Много от разширенията все още са налични в Chrome Web Store
- Официален коментар от страна на Google липсва
Как да се предпазите
Незабавни действия:
- Проверете всички инсталирани разширения
- Сравнете ги с публикувания списък от Socket
- Премахнете подозрителните незабавно
Добри практики:
- Инсталирайте разширения само от доказани разработчици
- Проверявайте ревюта и брой потребители
- Ограничете разрешенията на разширенията
- Използвайте отделни профили за чувствителни дейности
Този случай показва тревожна тенденция – зловредни разширения в официални магазини, които използват доверената екосистема като канал за атака. Комбинацията от кражба на OAuth токени, бекдори и отвличане на сесии превръща тези разширения в изключително опасен инструмент.
В контекста на все по-широкото използване на браузър-базирани услуги, подобни кампании представляват сериозна заплаха както за индивидуални потребители, така и за организации.
