Если вы недавно устанавливали расширения в Google Chrome, стоит быть настороже. С февраля 2024 года неизвестный злоумышленник начал массовое размещение фейковых расширений, маскирующихся под популярные VPN-сервисы, медиапомощники, банковские инструменты и ИИ-приложения. На самом деле они крадут cookies, перехватывают сессии, запускают вредоносный код и перенаправляют интернет-трафик.
Согласно данным DomainTools Intelligence (DTI), мошенники создают фальшивые сайты, которые якобы принадлежат известным сервисам — таким как DeepSeek, Manus, DeBank, FortiVPN и Site Stats. Оттуда пользователей перенаправляют в официальный Chrome Web Store, где размещены вредоносные расширения.
Как это работает
На первый взгляд расширения выглядят легитимно: они выполняют обещанные функции, запускаются без ошибок и могут даже иметь положительные отзывы. Однако за фасадом скрываются опасные функции — кража учётных данных и cookies, удалённый запуск кода, перехват трафика через WebSocket, редиректы на вредоносные сайты, фишинг в браузере, подмена DOM-элементов и внедрение нежелательной рекламы. Особенно изощрённый способ — обход защиты Content Security Policy (CSP) с помощью временного DOM-элемента и события onreset, что позволяет обойти стандартные ограничения браузера.
Как завлекают пользователей
Пока точно не известно, как пользователи попадают на поддельные сайты, но вероятно, используются фишинг, реклама в соцсетях и продвижение через Facebook-группы (признан экстремистским и запрещён в России). Многие фейковые сайты содержат Facebook Tracking ID, что указывает на рекламу через Meta-платформы (также признаны экстремистскими и запрещены в России).
Мошенники также манипулируют отзывами: при негативной оценке (1–3 звезды) пользователя перенаправляют на закрытую форму обратной связи, а при положительной (4–5 звезд) — просят оставить отзыв в Chrome Web Store.
Что делать пользователям
Хотя Google уже удалил известные вредоносные расширения, риск появления новых остаётся. Чтобы защитить себя:
Согласно данным DomainTools Intelligence (DTI), мошенники создают фальшивые сайты, которые якобы принадлежат известным сервисам — таким как DeepSeek, Manus, DeBank, FortiVPN и Site Stats. Оттуда пользователей перенаправляют в официальный Chrome Web Store, где размещены вредоносные расширения.
Как это работает
На первый взгляд расширения выглядят легитимно: они выполняют обещанные функции, запускаются без ошибок и могут даже иметь положительные отзывы. Однако за фасадом скрываются опасные функции — кража учётных данных и cookies, удалённый запуск кода, перехват трафика через WebSocket, редиректы на вредоносные сайты, фишинг в браузере, подмена DOM-элементов и внедрение нежелательной рекламы. Особенно изощрённый способ — обход защиты Content Security Policy (CSP) с помощью временного DOM-элемента и события onreset, что позволяет обойти стандартные ограничения браузера.
Как завлекают пользователей
Пока точно не известно, как пользователи попадают на поддельные сайты, но вероятно, используются фишинг, реклама в соцсетях и продвижение через Facebook-группы (признан экстремистским и запрещён в России). Многие фейковые сайты содержат Facebook Tracking ID, что указывает на рекламу через Meta-платформы (также признаны экстремистскими и запрещены в России).
Мошенники также манипулируют отзывами: при негативной оценке (1–3 звезды) пользователя перенаправляют на закрытую форму обратной связи, а при положительной (4–5 звезд) — просят оставить отзыв в Chrome Web Store.
Что делать пользователям
Хотя Google уже удалил известные вредоносные расширения, риск появления новых остаётся. Чтобы защитить себя:
- Устанавливайте расширения только от проверенных разработчиков;
- Всегда проверяйте, какие разрешения запрашивает расширение — если простой инструмент требует доступ ко всем сайтам, это повод задуматься;
- Не полагайтесь исключительно на отзывы — они могут быть фальсифицированы;
- Будьте особенно внимательны к расширениям, активно рекламируемым в соцсетях.