Аналітики DomainTools Intelligence (DTI) виявили понад 100 шкідливих розширень для браузера Chrome, замаскованих під VPN, ШІ-асистенти і криптоутиліти. Розширення використовуються для крадіжки файлів cookie і прихованого виконання віддалених скриптів.

За словами експертів, невідомі зловмисники поширюють шкідливі розширення з лютого 2024 року.

“Зловмисники створюють сайти, що маскуються під легітимні сервіси: інструменти для підвищення продуктивності, помічники для створення й аналізу реклами та медіафайлів, VPN-сервіси, криптоінструменти, банківські послуги та багато іншого. Такі сайти спонукають користувачів встановити відповідні шкідливі розширення з Chrome Web Store”, – розповідають дослідники.

Деякі з виявлених сайтів-приманок видають себе за легітимні продукти і сервіси, включно з DeepSeek, Manus, DeBank, FortiVPN, YouTube і Site Stats, щоб переконати користувачів завантажити і встановити розширення. Після цього вони збирають із браузера файли cookie, отримують довільні скрипти з віддаленого сервера і встановлюють WebSocket-з’єднання для роботи як проксі та маршрутизації трафіку.

Наразі невідомо, хто стоїть за цією шкідливою кампанією. Отримавши інформацію від дослідників, інженери Google видалили майже всі розширення з офіційного магазину.

Повний список шкідливих доменів із рекламою розширень доступний на GitHub DTI. Серед них:

-earthvpn[.]top;
-irontunnel[.]world і iron-tunnel[.]com;
-raccoon-vpn[.]world;
-orchid-vpn[.]com;
-soul-vpn[.]com;
-forti-vpn[.]com і fortivnp[.]com;
-debank-extension[.]world і debank[.]sbs, debank[.]click;
-youtube-vision[.]com і youtube-vision[. ]world;
-deepseek-ai[.]link;
-calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com;
-whale-alerts[.]org і whale-alert[.]life;
-madgicxads[.]world і madgicx-plus[.]com;
-similar-net[.]com;
-workfront-plus[.]com;
-flight-radar[.]life.