Осторожно, обновление: как безобидное расширение после апдейта начало похищать ваши пароли

Расследование специалистов по кибербезопасности вскрыло неприятную уязвимость привычной модели доверия к браузерным дополнениям: даже популярное расширение с высокими оценками способно незаметно измениться после обновления. Об этом сообщает KOI Security. В центре истории оказались WeTab и Infinity V+ по данным исследователей, они годами могли скрытно перехватывать поведение браузера и собирать чувствительные сведения, а общая аудитория кампании оценивается примерно в 4,3 млн пользователей Google Chrome и Microsoft Edge.

"Долгая игра": как расширения превращали в шпионские инструменты

По описанию KOI, схема строилась не на фишинге и не на уговорах установить подозрительный файл. Ставка делалась на "тихие" обновления уже популярных расширений: сначала в магазины попадали рабочие продукты, которые годами набирали установки, рейтинги и доверие, а затем в них добавляли вредоносный код. Исследователи связывают операцию с группой, которой дали условное имя ShadyPanda.

Критичность подхода, по сути, в том, что контроль со стороны магазинов расширений чаще всего максимально строг на этапе публикации, а изменения после апдейтов отслеживаются хуже. В результате внешне "надёжные" инструменты способны оставаться доступными достаточно долго, пока вредоносный функционал развивается поэтапно и не выглядит очевидным для пользователя.

Кампании 2023 года: подмена страниц и перехват данных

В отчёте описаны эпизоды активности, включая две кампании 2023 года. В первом случае десятки расширений, замаскированных под обои и "полезные" инструменты, по утверждению исследователей, отслеживали поведение пользователей и подменяли содержимое страниц на популярных площадках вроде eBay, Amazon и Booking. com. В материалe говорится, что добавлялись партнёрские коды и трекеры — это позволяло монетизировать покупки и параллельно собирать данные о действиях в браузере.

Во втором эпизоде вредоносный функционал связывают с Infinity V+. Утверждается, что расширение перенаправляло поиск на сторонний ресурс, похищало cookies, фиксировало ввод в поисковой строке и отправляло собранное на внешние серверы. Такой набор возможностей уже выходит за рамки "серой" монетизации и приближается к классическому инфостиллингу.

"Первая стадия": бэкдор, удалённый код и десятки доменов

Отдельно KOI выделяет раннюю фазу, когда пять расширений получили бэкдор и заразили около 300 тыс. пользователей. По данным исследователей, часть этих расширений была размещена ещё в 2018–2019 годах и даже получала отметки о "рекомендованности", а в середине 2024 года после роста установок туда якобы добавили обновление с бэкдором.

Согласно описанию, вредоносный модуль мог регулярно запрашивать команды, загружать произвольный JavaScript и выполнять его с полномочиями браузерных API, а также внедрять вредоносный HTTPS-контент на любые сайты. Также упоминается сбор истории посещений, рефереров, временных меток, устойчивых идентификаторов, "отпечатка" браузера и других данных. Отдельной деталью отмечено, что код пытался "вести себя прилично", если у пользователя включён режим разработчика.

"Вторая стадия": миллионы установок и фокус на WeTab

Самый масштабный блок исследования описывает следующую фазу: KOI утверждает, что ещё пять расширений от того же разработчика попали в магазин Edge и суммарно набрали свыше 4 млн установок, а два из них могли даже инициировать установку вредоносного ПО. Наибольшее внимание привлекло расширение WeTab для страницы новой вкладки — ему приписывают около 3 млн установок и скрытную отправку телеметрии.

Среди данных, которые, по версии KOI, могли собираться WeTab, перечисляются посещённые URL, результаты поиска, клики мыши, отпечаток браузера, взаимодействия со страницами и события доступа к хранилищу. Далее, как заявляется, информация уходила на множество доменов, а механизм обновлений позволял в любой момент превратить заражённые браузеры в управляемые "узлы" для дальнейших атак.

Что рекомендуют пользователям

История подчёркивает, что популярность расширения и положительные отзывы не гарантируют его безопасность "навсегда". В связи с этим пользователям рекомендуют пересмотреть список установленных расширений, удалить лишнее, проверить запрашиваемые разрешения и наблюдать за любыми странностями в работе браузера. Если есть подозрения, что расширение могло собирать cookies и историю посещений, в рекомендациях также фигурируют проверка системы и смена паролей.

Риски в подобном сценарии связаны не только с утечкой отдельных данных, но и с тем, что доступ к cookies и возможностям браузера даёт злоумышленникам управляемый канал влияния на сессии и поведение пользователя. Поэтому здравый минимум — сокращать число расширений и внимательнее относиться к их разрешениям и обновлениям.