Авторизация / Регистрация

[Wadimus]

Исследователи в сфере кибербезопасности выявили новую группу опасных расширений в официальном магазине Chrome Web Store. Совокупное число их установок превысило 100 тысяч — при этом программы способны похищать конфиденциальные данные пользователей, включая пароли и финансовую информацию.

Специалисты компании Symantec проанализировали механизмы работы угроз и обнаружили ряд скрытых методов воздействия. Вредоносные расширения осуществляют:

• несанкционированный доступ к буферу обмена;
• перехват поисковых запросов;
• удалённое выполнение кода;
• хищение сессионных данных.

Примечательно, что несмотря на существующие процедуры проверки Google, эти программы попали в официальный магазин и длительное время оставались доступными для загрузки. Ситуация подчёркивает сохраняющиеся уязвимости в системе верификации браузерных дополнений, даже с учётом внедрения нейросетевых алгоритмов для дополнительной проверки.

Среди выявленных угроз особое внимание привлекли несколько конкретных расширений:

Good Tab использует небезопасный HTTP‑iframe, предоставляя удалённому домену права на чтение и запись в буфер обмена пользователя. Эта уязвимость позволяет злоумышленникам не только похищать пароли, но и подменять адреса криптовалютных кошельков в момент проведения транзакций.

Children Protection (на момент обнаружения уже удалено из магазина) функционировало как полноценная система управления и контроля. Расширение применяло алгоритм генерации доменов для устойчивости к блокировкам серверов, собирало cookies браузера для перехвата сессий и выполняло произвольный JavaScript‑код с удалённого сервера.

DPS Websafe (также удалено) маскировалось под популярный блокировщик рекламы Adblock Plus, используя его иконку для введения пользователей в заблуждение. Программа отслеживала активность в браузере и перенаправляла поисковые запросы.

Stock Informer по‑прежнему доступно в Chrome Web Store. Расширение содержит критическую уязвимость межсайтового скриптинга (XSS): из‑за отсутствия проверки источника сообщений злоумышленники могут выполнять произвольный код.

Данный инцидент — не первый случай, когда вредоносные расширения проходят модерацию Google и попадают в официальный магазин. Он вновь актуализирует вопрос о надёжности механизмов проверки дополнений для браузера и необходимости усиления мер безопасности для защиты пользователей.