Исследователи из Socket Threat Research Team обнаружили в официальном магазине Chrome Web Store 108 вредоносных расширений, которые маскировались под безобидные инструменты.
Среди них были Telegram-клиенты, переводчики, игры, а также надстройки для видеохостингов и соцсетей.
Суммарно эти расширения успели набрать около 20 тысяч установок, прежде чем были обнаружены.
Пользователь устанавливал расширение и получал полностью рабочий функционал, например боковую панель для Telegram или простую игру.
Однако в фоне параллельно запускался вредоносный код, который занимался кражей данных.
Жертва даже не подозревала, что привычный инструмент работает против неё.
Все 108 расширений были завязаны на единый управляющий сервер cloudapi[.]stream.
Через этот сервер операторы собирали похищенные данные и отдавали команды.
Кампания была разнесена по пяти разным издателям, чтобы не привлекать внимание.
Расширения публиковались от имени пяти разработчиков: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt.
На первый взгляд это выглядело как набор независимых авторов.
Однако анализ кода показал, что вся история управлялась одним оператором.
Дополнительным признаком общей координации стало использование всего двух проектов Google Cloud для OAuth2-инфраструктуры у десятков расширений.
Одним из самых опасных расширений исследователи назвали Telegram Multi-account.
Оно крало активную веб-сессию Telegram из браузера жертвы и отправляло её на сервер злоумышленников каждые 15 секунд.
Фактически это позволяло поддерживать почти непрерывное зеркало чужого аккаунта без ведома владельца.
54 расширения собирали данные об аккаунтах Google через OAuth2-механизмы.
Сами токены могли не покидать браузер, но злоумышленники использовали их для получения постоянных идентификаторов жертв.
Таким образом добывались адреса электронной почты, имена и уникальные account ID.
У 45 расширений исследователи нашли функцию, которая при каждом запуске браузера связывалась с сервером.
Если сервер отправлял нужную команду, расширение незаметно открывало в новой вкладке любой указанный URL.
Через этот механизм можно было подсовывать пользователю фишинговые страницы, редиректы или другой вредоносный контент без явного взаимодействия с самим расширением.
Автор: Татьяна Полевничая