Команда GitLab Threat Intelligence обнаружила 16 дополнений для браузера Chrome, которые заразили более чем 3,2 миллиона пользователей вредоносными программами. Среди этих расширений были инструменты для создания скриншотов, блокировки рекламы и клавиатуры с эмодзи.
Хакеры использовали специальные методы для продвижения своих дополнений. Они провели сложные атаки, чтобы обойти защиту браузеров и внедрить вредоносный код.
Эта активность началась в июле 2024 года. Злоумышленники взломали легитимные расширения и начали проводить фишинговые атаки на учётные записи разработчиков. Это дало им возможность выпускать вредоносные обновления через магазин Chrome Web Store.
Хотя дополнения продолжали работать как обычно, в них был встроен вредоносный код. Он делал следующее:
— Проверял установку и отправлял информацию на удалённый сервер.
— Менял настройки безопасности браузера.
— Поддерживал связь с сервером и обновлял конфигурацию.
Каждое вредоносное дополнение использовало свой сервер. Например:
— Blipshot (Screenshots) использовал blipshotextension[.]com.
— Emojis Keyboard использовал emojikeyboardextension[.]com.
— Nimble Capture использовал api.nimblecapture[.]com.
— Adblocker for Chrome использовал abfc-extension[.]com.
— KProxy использовал kproxyservers[.]site.
Эксперты считают, что хакеры использовали эти дополнения для кражи данных и мошенничества с кликами.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
