Вредоносные расширения для браузеров крадут ваши данные — удалите их немедленно

В последнее время выявлена масштабная кампания по распространению вредоносных расширений для браузеров, угрожающих безопасности пользователей. По информации аналитической платформы DomainTools Intelligence, с февраля 2024 года злоумышленники создали более ста поддельных сайтов и расширений, маскирующихся под популярные и полезные инструменты.

Эти расширения выглядели как легитимные приложения, например, для повышения продуктивности, что вводило пользователей в заблуждение и побуждало их к загрузке вредоносного ПО. Изначально они имитировали функциональность заявленных сервисов и проходили модерацию.

Однако после установки такие расширения начинали выполнять скрытые действия, связанные с кражей учетных данных и файлов cookie, похищением сессий, внедрением навязчивой рекламы и перенаправлением на фишинговые страницы. Они могли манипулировать трафиком, использовать расширенные права доступа для взаимодействия с любыми сайтами, запускать произвольный код и внедрять вредоносные скрипты.

Злоумышленники использовали обработчик onreset на DOM-элементах для обхода политик безопасности контента и уклонения от обнаружения. Распространялись множество имитированных сервисов, таких как DeepSeek. После установки расширения собирали cookie, загружали скрипты с серверов злоумышленников и организовывали WebSocket-соединения для маршрутизации трафика.

Механизмы перенаправления на фишинговые страницы все еще изучаются, однако эксперты предполагают, что для этого использовались методы социальной инженерии и продвижение через социальные сети.

Для защиты рекомендуется устанавливать расширения только от проверенных разработчиков, внимательно изучать запрашиваемые разрешения и отзывы пользователей. Следует избегать сомнительных предложений, особенно тех, что напоминают популярные сервисы, так как некоторые поддельные расширения могли искусственно завышать оценки, скрывать негативные отзывы и перенаправлять пользователей на фальшивые формы обратной связи. В условиях продолжающегося расследования личности злоумышленников и механизмы распространения угроз остаются неясными.