У Google Chrome Web Store виявлено масштабну кампанію з поширення шкідливих розширень, які видають себе за легітимні інструменти — від VPN і криптовалютних утиліт до ШІ-асистентів.
Про це повідомляє РБК-Україна (проект Styler) з посиланням на профільний сайт Bleeping Computer.
Що відомо
За їхніми даними, понад 100 розширень частково виконують обіцяні функції, але одночасно підключаються до інфраструктури зловмисників, крадуть призначені для користувача дані та отримують команди на виконання шкідливих дій. Деякі з них модифікують мережевий трафік, показують рекламу, перенаправляють користувачів або діють як проксі.
Для просування цих розширень використовували понад 100 підроблених доменів, зокрема підробки під Fortinet, YouTube, Calendly та інші:
forti-vpn[.]com, fortivnp[.]com
youtube-vision[.]com
deepseek-ai[.]link
calendlydocker[.]com, calendly-director[.]com
debank-extension[.]world, debank[.]sbs
earthvpn[.]top, raccoon-vpn[.]world
Шкідливий сайт, що видає себе за VPN-клієнт Fortinet (фото: DomainTools)
Усі сайти пропонували кнопку «Додати в Chrome», яка вела на шкідливі розширення в магазині Chrome, що створювало ілюзію довіри. Незважаючи на те, що Google вже видалив частину з них, деякі, як і раніше, доступні, підтвердили в BleepingComputer.
Розширення запитували небезпечні дозволи — доступ до cookies, можливість виконувати довільні скрипти і фішингові атаки через DOM. Наприклад, розширення «fortivpn» краде cookies, створює проксі-підключення і передає дані на один із небезпечних серверів.
Встановлення таких розширень може призвести до крадіжки акаунтів, персональних даних і моніторингу активності. У деяких випадках — до злому корпоративних мереж через компрометацію VPN-доступу.
Експерти рекомендують завантажувати розширення тільки від перевірених розробників і звертати увагу на відгуки користувачів.
Вас може зацікавити:
В Україні запустили AI-пошук від Google
Google вперше за 10 років оновив свій логотип
Google додала в Chrome функцію захисту від шахраїв