KOI заявила, что расширения WeTab и Infinity V+ годами скрытно собирали данные и перехватывали браузеры.
Более 4 миллионов пользователей пострадали от вредоносных расширений для Chrome
Фото: © RusPhotoBank
WeTab и Infinity V+ оказались в центре крупного скандала: специалисты по кибербезопасности заявили, что эти и ряд других расширений для Chrome могли годами скрытно захватывать браузеры пользователей и собирать чувствительные данные. Как сообщает компания KOI, жертвами кампании стали порядка 4,3 млн пользователей Chrome и Microsoft Edge, причём атака строилась не на фишинге или социальной инженерии, а на «тихих» обновлениях уже популярных расширений.
Сообщается, что за операцией стоит группа, получившая условное имя ShadyPanda. Их тактика выглядела максимально прагматично: сначала публиковались вполне рабочие расширения, которые годами набирали аудиторию, рейтинги и скачивания, а затем разработчики незаметно выкатывали апдейты с вредоносным кодом. Поскольку магазины расширений в основном проверяют продукт в момент публикации и дальнейшие изменения отслеживаются хуже и внешне «надёжные» инструменты могли долго оставаться в магазине.
В отчёте описывается несколько эпизодов активности, в том числе две кампании 2023 года. В первом случае десятки расширений, маскирующихся под обои и полезные инструменты, якобы тихо отслеживали поведение пользователей и подменяли содержимое страниц на сайтах вроде eBay, Amazon и Booking.com, добавляя партнёрские коды и трекеры, чтобы монетизировать покупки и продажи данных о действиях. Во втором эпизоде вредоносный функционал связывают с Infinity V+: расширение перенаправляло поиск на сторонний ресурс, похищало cookies, фиксировало ввод в поисковой строке и отправляло собранное на внешние серверы.
Отдельно KOI выделяет «первую стадию» атаки, когда пять расширений получили бэкдор с возможностью удалённого выполнения кода и заразили около 300 тысяч пользователей. По данным исследователей, некоторые из этих расширений были размещены ещё в 2018–2019 годах и даже получали отметки о «рекомендованности», а в середине 2024 года после роста установок им якобы добавили обновление с бэкдором. Вредоносный модуль, как утверждается, мог регулярно запрашивать команды, загружать произвольный JavaScript, выполнять его с полномочиями браузерных API и внедрять вредоносный HTTPS-контент на любые сайты. Также описывается сбор истории посещений, рефереров, временных меток, устойчивых идентификаторов, полного «отпечатка» браузера и других данных, причём код, по словам KOI, пытался «вести себя прилично», если у пользователя включён режим разработчика.
Самый масштабный блок исследования касается «второй стадии»: KOI утверждает, что ещё пять расширений от того же разработчика попали в магазин Edge и суммарно набрали свыше 4 млн установок, а два из них могли даже инициировать установку вредоносного ПО. Наибольшее внимание привлекло расширение WeTab для страницы новой вкладки — ему приписывают около 3 млн установок и скрытную отправку телеметрии, включая посещённые URL, результаты поиска, клики мыши, отпечаток браузера, взаимодействия со страницами и события доступа к хранилищу. Далее данные, как заявляется, уходили на множество доменов, а механизм обновлений позволял в любой момент превратить заражённые браузеры в управляемые «узлы» для дальнейших атак.
История подчёркивает уязвимость модели доверия к расширениям: даже популярный продукт с большим числом положительных отзывов может измениться после обновления. Пользователям рекомендуют внимательно просматривать список установленных расширений, удалять всё лишнее, проверять разрешения, а при подозрительной активности браузера — провести проверку системы и сменить пароли, особенно если расширение могло собирать cookies и историю посещений.
Ранее издание Пепелац Ньюс сообщало, что iPhone 17e может стать самым большим обновлением бюджетной линейки.