Używasz Chrome? Uważaj na złośliwe rozszerzenia – wykryto ponad 100 nowych

Badacze bezpieczeństwa z Domain Tools ostrzegają – nowa kampania w sklepie internetowym Google Chrome wykorzystuje ponad 100 złośliwych rozszerzeń przeglądarki. Imitują legalne narzędzia, takie jak sieci VPN, asystenci AI i narzędzia kryptograficzne, w celu kradzieży plików cookie przeglądarki i wykonywania zdalnych skryptów.
Chrome
Chrome

Co prawda rozszerzenia oferują część obiecanej funkcjonalności, ale także łączą się z maszyną po to, aby ukraść informacje użytkownika. Ponadto mogą modyfikować ruch sieciowy, aby dostarczać reklamy, wykonywać przekierowania lub korzystać z proxy. Na jakie rozszerzenia uważać?

Chrome zagrożony – a Google nie wszystko usunęło z Chrome Web Store

Jak wspomniałem na początku, kampanię odkryli badacze bezpieczeństwa z DomainTools, którzy zidentyfikowali ponad sto fałszywych domen promujących te narzędzia nieświadomym użytkownikom, prawdopodobnie za pośrednictwem złośliwych reklam. Na liście zagrożeń znajduje się wiele fałszywych marek VPN, a także próby podszywania się pod legalne marki, takie jak Fortinet, YouTube, DeepSeek AI i Calendly:

  • earthvpn[.]top
  • irontunnel[.]world and iron-tunnel[.]com
  • raccoon-vpn[.]world
  • orchid-vpn[.]com
  • soul-vpn[.]com
  • forti-vpn[.]com and fortivnp[.]com
  • debank-extension[.]world and debank[.]sbs, debank[.]click
  • youtube-vision[.]com and youtube-vision[.]world
  • deepseek-ai[.]link
  • calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com
  • whale-alerts[.]org and whale-alert[.]life
  • madgicxads[.]world and madgicx-plus[.]com
  • similar-net[.]com
  • workfront-plus[.]com
  • flight-radar[.]life

Na spreparowanych stronach internetowych znajdują się przyciski “Dodaj do Chrome”, które odsyłają do złośliwych rozszerzeń przeglądarki w Chrome Web Store, zwiększając w ten sposób poczucie autentyczności. Kto uwierzy, może mieć przykrą niespodziankę. Na przykład rozszerzenie “fortivpn” służy do kradzieży plików cookie, pełnienia funkcji serwera proxy, modyfikowania ruchu sieciowego i uruchamiania dowolnych skryptów JavaScript ze zdalnego serwera.

Fałszywa wtyczka Chrome

Czytaj też: Niebezpieczna luka w Chrome odkryta. Google wydaje awaryjną aktualizację

Widzieliśmy coś podobnego w zeszłym miesiącu, kiedy badacz cyberbezpieczeństwa z Secure Annex odkrył liczne złośliwe rozszerzenia Chrome rozprzestrzeniane za pośrednictwem reklam i witryn oszustw. To kolejny przykład, dlaczego należy dokładnie sprawdzać rozszerzenia przeglądarki.

Mimo że Google usunęło wiele rozszerzeń zidentyfikowanych przez DomainTools, serwis BleepingComputer sprawdził, że niektóre z nich nadal znajdują się w Chrome Web Store. Ryzyko wynikające z instalacji tych rozszerzeń obejmuje przejęcie konta, kradzież danych osobowych i monitorowanie aktywności przeglądania. Zapewniają atakującym tylne wejście do zainfekowanej przeglądarki, więc potencjał wykorzystania jest rozległy.

Aby zminimalizować ryzyko pobrania złośliwych rozszerzeń ze sklepu Chrome Web Store, ufaj tylko renomowanym wydawcom o ugruntowanej reputacji i zapoznaj się z opiniami użytkowników, aby wykryć ewentualne sygnały ostrzegawcze.