Специалисты GitLab Threat Intelligence выявили 16 расширений для Chrome, включая инструменты для создания скриншотов, блокировщики рекламы и клавиатуры с эмодзи, заразивших как минимум 3,2 миллиона пользователей вредоносными программами.
Операторы аддонов использовали поисковую оптимизацию для продвижения своих разработок. При этом злоумышленники явно хорошо подготовлены, так как для обхода защитных механизмов браузеров применялся сложный подход.
«Киберпреступники реализовали сложную многоэтапную атаку, с помощью которой сначала нивелируется защита браузеров, а затем — внедряется вредоносный код», — объясняют исследователи.
Активность стартовала в июле 2024 года, когда злоумышленники получили доступ к легитимным расширениям. Уже к декабрю кампания превратилась в фишинговые атаки на учётные записи разработчиков аддонов.
В результате у атакующих появилась возможность выпускать вредоносные обновления изначально легитимных расширений через официальный магазин Chrome Web Store.
Несмотря на то что аддоны продолжали выполнять заявленную функциональность, в них выявили общий вредоносный фреймворк, который выполнял следующее:
- Проверял конфигурацию при установке, а также передавал на удалённый сервер версию расширения и уникальный идентификатор.
- Менял настройки безопасности браузера, удаляя заголовок Content Security Policy (CSP) с первых 2000 посещённых веб-сайтов в каждой сессии.
- Поддерживал постоянную связь с командным сервером (C2) и обновлял при необходимости конфигурацию.
Анализ показал, что каждый из вредоносных аддонов использовал свой сервер конфигурации. Например:
| Название расширения | Сервер конфигурации |
| Blipshot (Screenshots) | blipshotextension[.]com |
| Emojis Keyboard | emojikeyboardextension[.]com |
| Nimble Capture | api.nimblecapture[.]com |
| Adblocker for Chrome | abfc-extension[.]com |
| KProxy | kproxyservers[.]site |
Специалисты считают, что с помощью этих расширений злоумышленники перехватывали конфиденциальные данные, а также осуществляли мошенничество с кликами.
