Що відомо
За їхніми даними, понад 100 розширень частково виконують обіцяні функції, але одночасно підключаються до інфраструктури зловмисників, крадуть призначені для користувача дані та отримують команди на виконання шкідливих дій. Деякі з них модифікують мережевий трафік, показують рекламу, перенаправляють користувачів або діють як проксі.
Для просування цих розширень використовували понад 100 підроблених доменів, зокрема підробки під Fortinet, YouTube, Calendly та інші:
- forti-vpn[.]com, fortivnp[.]com
- youtube-vision[.]com
- deepseek-ai[.]link
- calendlydocker[.]com, calendly-director[.]com
- debank-extension[.]world, debank[.]sbs
- earthvpn[.]top, raccoon-vpn[.]world
Шкідливий сайт, що видає себе за VPN-клієнт Fortinet (фото: DomainTools)
Усі сайти пропонували кнопку “Додати в Chrome”, яка вела на шкідливі розширення в магазині Chrome, що створювало ілюзію довіри. Незважаючи на те, що Google вже видалив частину з них, деякі, як і раніше, доступні, підтвердили в BleepingComputer.
Розширення запитували небезпечні дозволи – доступ до cookies, можливість виконувати довільні скрипти і фішингові атаки через DOM. Наприклад, розширення “fortivpn” краде cookies, створює проксі-підключення і передає дані на один із небезпечних серверів.
Встановлення таких розширень може призвести до крадіжки акаунтів, персональних даних і моніторингу активності. У деяких випадках – до злому корпоративних мереж через компрометацію VPN-доступу.
Експерти рекомендують завантажувати розширення тільки від перевірених розробників і звертати увагу на відгуки користувачів.
