Коли компанія Socket опублікувала технічний розбір 108 шкідливих розширень для Chrome, найбільше здивував не сам факт їхнього існування, а те, наскільки ретельно вибудувана інфраструктура за ними. Це не окремі «погані» додатки — це координована кампанія з єдиним командним сервером, монетизацією через перепродаж і, судячи з коду, російськомовними авторами.
Три різні атаки в одному пакеті
Дослідник Socket Куш Пандья виявив, що 54 розширення крадуть OAuth2-токен Google в момент входу в акаунт і надсилають профіль користувача на сервер зловмисника. Ще 45 розширень містять універсальний бекдор: щойно браузер запускається, вони можуть відкрити будь-яку URL-адресу без відома користувача.
Найгостріший випадок — розширення Telegram Multi-account. За даними Cybernews із посиланням на звіт Socket, воно кожні 15 секунд зчитувало активну сесію Telegram Web і надсилало її на підконтрольний зловмиснику сервер. Цього достатньо, щоб отримати повний доступ до переписки та контактів — без пароля і без обходу двофакторної автентифікації.
«Усі 108 маршрутизують вкрадені облікові дані, ідентифікатори користувачів і дані перегляду на сервери, контрольовані одним оператором.»
— Куш Пандья, дослідник Socket
П'ять «різних» розробників — одна рука
Розширення розміщені під п'ятьма окремими ідентифікаторами видавців: Yana Project, GameGen, SideGames, Rodeo Games та InterAlt. Маскування під різних авторів — стандартна техніка, що ускладнює виявлення кластера за репутацією облікового запису. Проте, як зазначає BleepingComputer, весь трафік ішов на один VPS-сервер Contabo з кількома субдоменами для різних функцій: збір сесій, виконання команд, монетизація.
Саме монетизація — найбільш тривожний елемент. Інфраструктура підтримує модель Malware-as-a-Service (MaaS): вкрадені дані та активні сесії могли перепродаватися третім особам. У вихідному коді Socket знайшли коментарі російською мовою — зокрема в логіці автентифікації та крадіжки сесій.
Як це проходило перевірку Google
П'ять розширень використовували Chrome API declarativeNetRequest, щоб видаляти заголовки безпеки (Content Security Policy, X-Frame-Options, CORS) ще до завантаження сторінки. Це дозволяло впроваджувати рекламні оверлеї та гемблінг-банери навіть на YouTube і TikTok. Більшість розширень при цьому справді виконували заявлену функцію — ігри, перекладач, Telegram-клієнт — що робило їх важко відрізнюваними від легітимних.
Загалом розширення встановили близько 20 000 разів. Розширення Telegram Multi-account містило шкідливий код щонайменше з 15 лютого 2025 року — тобто понад рік до виявлення.
- Перевірте список усіх 108 розширень у звіті Socket і видаліть їх негайно
- Після видалення — примусовий вихід з акаунтів Google і Telegram у всіх сесіях
- У Telegram: Налаштування → Пристрої → завершити всі активні сесії
- У Google: myaccount.google.com → Безпека → Ваші пристрої
Справжнє питання не в тому, чи видалить Google ці 108 розширень — він видалить. Питання в тому, чи зміниться процес перевірки Chrome Web Store настільки, щоб наступна кампанія з єдиним C2-сервером за п'ятьма акаунтами не протрималася рік непоміченою. Якщо ні — наступний список буде довшим.
