🕵️‍♂️ Підроблене розширення Perplexity AI у Chrome шпигувало за користувачами

Група Microsoft Threat Intelligence виявила шкідливу кампанію з поширення підробного розширення в офіційному магазині Chrome Web Store. Програма маскувалася під пошуковий рушій Perplexity AI, використовуючи оригінальний брендинг та тайпосквотинговий домен perplexity-ai[.]online для обману людей. Головна мета розширення — перехоплення вебтрафіку та збір конфіденційних даних. Після встановлення воно змінює файл конфігурації manifest.json браузера та стає пошуковим провайдером за замовчуванням.

Технічний аналіз показав, що у налаштуваннях використовується поле suggest_url. Завдяки цьому кожне натискання клавіш користувачем під час введення запиту в адресний рядок у реальному часі відправляється на сервер хакерів ще до натискання Enter. Після фіксації логів розширення перенаправляє жертву на справжні Google або Bing через правила Declarative Net Request. Фахівці виявили відкритий код server.js на Node.js, що повністю довело факт зловмисного цифрового профілювання жертв.