RolyPoly VPN: Злонамереното „безплатно“ VPN разширение, което продължава да се връща
Резюме
Изследователи по сигурността в LayerX Security разкриха кампания, включваща злонамерени VPN и разширения за блокиране на реклами, предназначени да крадат чувствителни потребителски данни. Кампанията упорито се опитва да се появи отново, дори след като е била сваляна преди това (повече от веднъж). Докато разширенията, част от тази преродена кампания, имат 31 000 активни инсталации, миналите инсталации са постигнали общо над 9 милиона инсталации.
Подобно на детска играчка тип „рол поли“, която постоянно стои на крака, тези злонамерени разширения (и стоящите зад тях злонамерени лица) сякаш са решени да се връщат, независимо колко пъти са били сваляни преди. Тази кампания е сурово напомняне за рисковете от „безплатните“ разширения, и особено тези с разрешения за достъп до чувствителни данни, както и за необходимостта от защитни механизми за непрекъснато наблюдение и анализ на разширенията, за да се открие злонамерено поведение.
Разширени подробности:
Безплатните VPN разширения обещават поверителност, скорост и глобален достъп с едно кликване. За милиони потребители те са лесен начин да заобиколят ограниченията или да скрият IP адреси, без да плащат за абонамент. Но това обещание често крие компромис: ако продуктът е безплатен, вашите данни се превръщат в продукт.
През последните няколко години група от разширения за Chrome рекламират „Безплатен неограничен VPN“ услуги, натрупани колективно над 9 милиона инсталацииТехните имена, икони и описания изглеждаха напълно легитимни и дори професионални. И все пак, зад тази изчистена фасада, по-късно се оказа, че две от тези разширения съдържат дълбоко инвазивен код. Те бяха налично в уеб магазина на Chrome от близо шест години преди да бъде маркиран и премахнат в Май 2025.
Само два месеца по-късно, и трето удължаване, почти идентичен по описание, стил на иконите и вътрешно поведение, се появи в магазина. Той все още е наличен към момента на писане.
Тези разширения правеха много повече от заявки за прокси мрежа. Те извличаха скрити конфигурационни файлове от отдалечени сървъри, променяха настройките на прокси сървъра в реално време и прихващаха събития за навигация в браузъра, функционирайки като дистанционно управлявани прокси пренасочващи устройства със скрити канали за актуализиране. Това, което изглеждаше като обикновена безплатна VPN, на практика се оказа пълен механизъм за наблюдение на ниво браузър.
В този анализ ще опишем как са се развили тези разширения, ще подчертаем техническите припокривания между тях и ще разгледаме специфичните техники, използвани за прихващане, пренасочване и запазване в браузъра. Констатациите показват как разрешения като webRequest, proxy и declarativeNetRequest могат да дадат на злонамерени лица... пълна видимост и контрол върху трафика на сърфиране на потребителя.
Ако бъдат инсталирани, тези разширения биха могли:
- Прихващане и пренасочване всяка страница, която посещавате.
- Събиране на данни за сърфиране и списък с инсталирани разширения.
- Промяна или деактивиране други прокси или инструменти за сигурност.
- Пренасочване на трафика през контролирани от хакери сървъри, излагайки частната дейност на потенциално наблюдение.
Снимка 1: Един от злонамерените „безплатни неограничени VPN“ в магазина
Следва подробна разбивка на техните метаданни, поведение на кода и рискове.
Таблица 1: Метаданни за разширението
| Област | Разширение А | Разширение Б | Разширение C |
| Идентификационен номер на разширението | foiopecknacmiihiocgdjgbjokkpkohc | бибйцйфмгапбфолджиойпипаооддпкпай | fgpecemjbefkjlcgnhjohdonijdkfooj |
| Показвано име | VPN Professional - Безплатно, сигурно и неограничено VPN прокси разширение за Chrome | VPN-free.pro - Безплатен неограничен VPN | Безплатен неограничен VPN |
| Описание | Деблокирайте всеки уебсайт и останете защитени с VPN Professional. Лесна употреба с активиране с едно щракване. VPN Professional - най-добрата VPN! | Деблокирайте всеки уебсайт и бъдете сигурни с VPN-free.proЛесна употреба с активиране с едно щракване. VPN-free.pro - най-добрата VPN! | Деблокирайте всеки уебсайт и останете в безопасност с безплатна неограничена VPN. Лесна употреба с активиране с едно щракване. Безплатна неограничена VPN - най-добрата VPN! |
| Подкрепа имейл | [имейл защитен] | [имейл защитен] | [имейл защитен] |
| Дата на създаване | 21 септември 2019 | 09 май 2020 | Юли 21 2025 |
| Последна актуализация | Юли 07 2024 | 14 февруари 2025 | 22 август 2025 |
| Изтрито от магазина | 21 май 2025 г. (премахнато) | 21 май 2025 г. (премахнато) | В магазина (не е премахнато) |
| бележки | Споделя домейна за поддръжка free-vpn.pro с B; премахнат от магазина. | Споделя домейна за поддръжка free-vpn.pro с A; премахнат от магазина. | Различен имейл (Gmail); същият текст и стил на иконите; все още не е премахнато. |
Докато легитимната VPN мрежа на браузъра се нуждае само от прокси контрол с конфигурация, която обикновено е статична или извлечена от добре познат API на собствена марка през HTTPS, анализът на описаните разширения показа дистанционно управлявани конфигурации, динамични актуализации на кода и пълно прихващане на навигацията, което позволява на атакуващите тихомълком да пренасочват, блокират или променят потребителския трафик и да променят поведението на разширението след инсталирането.
Техническо потапяне: Стара версия срещу Нова версия
Стара версия (забележими подозрителни части)
Отвличане на методи
Разширението отменя String.prototype.trim, за да премахне обратните наклонени черти от декодирани низове — използва се за тихо де-обфускация и следване на отдалечени URL адреси.
Отдалечено извличане на конфигурация (multi-URL config.txt)
Разширението периодично извлича конфигурация с множество URL адреси, за да актуализира поведението и полезните товари.
Дистанционно инсталиране на PAC
Разширението задава прокси сървър за Chrome чрез pac_script, изтеглен от отдалечена конфигурация. Чрез инсталиране на отдалечен PAC скрипт и контролиране на крайните точки на прокси сървъра, атакуващият може да насочва потребителския трафик през сървърите, които контролира, което позволява пасивно наблюдение (регистриране), активно инжектиране (модификация на HTML/JS), кражба на идентификационни данни или целенасочена подмяна на съдържание.
Прихващане на навигацията
Разширението регистрира слушател chrome.webRequest.onBeforeRequest за „ „насочване към заявки към мейнфрейм, което позволява на разширението да прехваща всяко зареждане на страница и да пренасочва раздели към дестинации, определени в неговата отдалечена конфигурация.“
Динамични актуализации на DNR
Разширението използва declarativeNetRequest.updateDynamicRules, за да променя филтрирането/маршрутирането в движение.
Фалшифициране на историята:
Разширението използва history.replaceState("", "", 'https://${location.host}'), за да премахне следи от оригинални URL адреси за пренасочване.
Деинсталиране, управлявано от сървър
Разширението задейства самодеинсталиране въз основа на проверка на отдалечен сървър („Cloudflare“), която се използва за избягване на анализ или целенасочено премахване.
Проверка на разрешенията и самостоятелно премахване
В случай че разрешението беше премахнато, разширението се деинсталира само.
Устойчивост на сервизния работник
Разширението инжектира keepalive скрипт в разделите, за да поддържа фоновия worker активен (избягва разтоварванията на MV3).
Приоритетни съобщения
Разширението изпраща съобщения до други разширения, за да получи приоритет пред навигацията.
Фалшиви UX настройки
Разширението съхранява държава/версия/uid, но не и реален локален VPN тунелен код, вероятно козметичен или сървърно-ориентиран избор.
2025 версия
Новата версия, публикувана на 21 юли 2025 г., е забележително по-усъвършенствана и по-незабележима от старата: тя премахва някои очевидно подозрителни кодове, като същевременно добавя по-скрити механизми, като например забавено активиране на прокси, динамично изтегляне на код и възможност за деактивиране на други разширения, което прави откриването по-трудно, но предоставя още по-голям дистанционен контрол върху браузъра и трафика на потребителя. Забележителните подозрителни части са:
Отдалечено извличане на конфигурация от множество URL адреси
Както и по-старите разширения, това също периодично извлича конфигурация с множество URL адреси, за да актуализира поведението и полезните товари.
Скрипт за отдалечен PAC
Разширението задава прокси сървър за Chrome чрез pac_script, изтеглен от отдалечена конфигурация, който насочва трафика през сървърите на атакуващия, но в по-нова версия PAC съдържа две секунди забавяне преди активиране, което вероятно се използва за избягване на sandbox. Освен това, основната логика за маршрутизиране на прокси сървъра, включително променливите за настройка и конфигурация, се изтегля по време на изпълнение и се изпълнява динамично.
Прихващане на навигацията
Разширението регистрира слушател chrome.webRequest.onBeforeRequest за „ „насочване към заявки към мейнфрейм, което позволява на разширението да прехваща всяко зареждане на страница и да пренасочва раздели към дестинации, определени в неговата отдалечена конфигурация.“
Динамични актуализации на DNR
Разширението използва declarativeNetRequest.updateDynamicRules, за да променя филтрирането/маршрутирането в движение.
Устойчивост на сервизния работник
Разширението инжектира keepalive скрипт в разделите, за да поддържа фоновия worker активен (избягва разтоварванията на MV3).
Деактивира други разширения на прокси сървъра
Разширението сканира за други разширения с прокси разрешения и ако ги намери, ги деактивира, предоставяйки изключителен контрол върху маршрутизацията.
идваща
Разширението изброява инсталираните разширения и изпраща списък до отдалечения сървър.
Хеширане и качване на URL адреси
Разширението хешира посетените URL адреси и периодично ги изпраща до C2 за профилиране и насочване.
Риск и въздействие
- Пълно прихващане на трафикаЧрез инсталиране на отдалечен PAC скрипт и контролиране на прокси крайни точки, атакуващият може да маршрутизира потребителския трафик през сървърите, които контролира, което позволява пасивно наблюдение (регистриране), активно инжектиране (модификация на HTML/JS), кражба на идентификационни данни или целенасочена подмяна на съдържание.
- Селективно, скрито пренасочванеС актуализациите onBeforeRequest + DNR, операторът може да насочва жертвите към фишинг страници, страници за насочвано изтегляне или рекламни ферми и след това да променя полезните товари по-късно без намеса на потребителя.
- Постоянно дистанционно управлениеИзвличането на код/конфигурация по време на изпълнение + актуализациите на DNR + инжектирането на keepalive позволяват на оператора да променя поведението на разширението след инсталирането, заобикаляйки прегледа в магазина след първоначалната публикация.
- Избягване на анализ и следи: времеви гейтове (2 секунди директен трафик), history.replaceState, динамично деинсталиране при откриване. Всички тези тактики намаляват криминалистичните доказателства и откриването в пясъчник.
- Разширяване на повърхността на атакатаДеактивирането на други прокси разширения или изброяването на инсталирани разширения позволява целенасочено деактивиране на защитни инструменти.
- Поверителност и профилиранеСъбирането на хеширани URL адреси, списъци с разширения и потенциално „бисквитки“/токени за сесия (ако са проксирани към сървърите на атакуващите) е сериозно нарушение на поверителността и може да позволи целенасочени последващи атаки.
Заключение
Тези разширения показват колко лесно една надеждна добавка за браузър може да се превърне в дистанционно управлявана прокси система: в продължение на шест години две почти идентични разширения за „безплатна VPN“ тихо пренасочваха трафика, актуализираха поведението си чрез скрити конфигурационни канали и извличаха потребителски данни преди премахването им, само за да се появи трети клонинг два месеца по-късно, демонстрирайки, че дори инструменти, предлагани на пазара за поверителност, могат да се превърнат в дълготрайни инструменти за наблюдение, когато им се предоставят широки разрешения и минимален контрол.
Заслужава да се отбележи, че по време на нашето разследване открихме шест допълнителни, почти идентични разширения. Те обаче бяха рекламни блокери намлява програми за изтегляне на музика.
МОК
Идентификационни номера на разширенията - Текущи активни разширения
- fgpecemjbefkjlcgnhjohdonijdkfooj - активен - 30 000 потребители (Chrome)
- kekfppnajjchccpkfaogiomfcncbgagc - 131 445 потребители (Edge)
- nhiafglcjghpmcipelflfhkckdpcokid - активен - 1,000 потребители
- hfofhoffdcfcjgmilkpnhkamcgemaban - 100 000 потребители
Идентификационни номера на разширенията на минали разширения (които вече не са активни):
- foiopecknacmiihiocgdjgbjokkpkohc - 100,000 потребители
- бибйцйфмгапбфолджиойпипаооддпкпай - 9,000,000 потребители
- ngahaphlngmdfhbhkplbglnfhehnpgdb - 100,000 потребители
- ибибеегннкапфдцгпдннбйббоджглхлмк - 20,000 потребители
- anlhakiodmebohjmkbciohpglnjifjaa - 5,000 потребители
Имейли/домейни за поддръжка
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- free-vpn.pro
- okmusic.cyou
- dialspeed.xyz
- блокер на реклами.top
- facebook.adscleaner.top
- vpn-professional.company
- procompany.top
- proffconfig.top
- configapp.top
- yandexmusic.pro
- configanalytics.icu
Имена / брандиране
- „VPN Professional - Безплатно, сигурно и неограничено VPN прокси разширение за Chrome“
- „VPN-free.pro - Безплатен неограничен VPN“
- „Безплатен неограничен VPN“
- „VPN Professional - Безплатен неограничен VPN прокси“
- „Блокиране на реклами“
- „OKmusic - изтегляне на музика и видео Едноклассници | OK.ru Music Downloader“
- „Препарат за почистване на реклами за Facebook“
- „Бързо набиране | Отметки | Нов раздел | Бърз достъп | Персонализирано търсене“
- „Скачать музыку“ („Изтегляне на музика“)
Саниране и смекчаване
Незабавни действия за крайните потребители:
- Деинсталирайте всяко разширение, съответстващо на горните IOC.
- Изчистете „бисквитките“ на браузъра, локалното хранилище и всички съхранени идентификационни данни, които може да са били заснети, докато разширението е било активно.
- Ротирайте паролите за чувствителни акаунти (особено ако сте използвали браузъра за вход, докато разширението е било активно).
- Изпълнете локално сканиране за злонамерен/анти-рекламен софтуер.
Действия на предприятието / SOC:
- Блокирайте идентифицираните домейни за поддръжка и C2 хостове на периметъра на мрежата (DNS + прокси + защитна стена) по време на разследването.
- Запитване за телеметрия за инсталиране на разширения и промени в PAC (EDR/MDM: търсене на промени в системния регистър или предпочитанията, използвани за задаване на PAC).
- Отменете сесиите за критични услуги, ако е имало трафик, проксиран през хостове на атакуващите.
- Уведомявайте потребителите и изисквайте преинсталиране на браузъри или нулиране на профили за засегнатите крайни точки, ако е необходимо.
- Докладвайте разширението(ята) в уеб магазина на Chrome с подробни IOC-та и подкрепящи доказателства.








