RolyPoly VPN: złośliwe „darmowe” rozszerzenie VPN, które ciągle powraca
Streszczenie
Badacze bezpieczeństwa z LayerX Security odkryli kampanię z udziałem złośliwych rozszerzeń VPN i blokujących reklamy, których celem jest kradzież poufnych danych użytkowników. Kampania ta nieustannie próbuje się odrodzić, nawet po tym, jak została wcześniej (więcej niż raz) wyłączona. Chociaż rozszerzenia będące częścią tej odrodzonej kampanii mają 31 000 aktywnych instalacji, poprzednie wersje osiągnęły łącznie ponad 9 milionów instalacji.
Niczym dziecięca „tocząca się” zabawka, która ciągle się podnosi, te złośliwe rozszerzenia (i stojący za nimi cyberprzestępcy) zdają się powracać, niezależnie od tego, ile razy zostały już usunięte. Ta kampania dobitnie przypomina o ryzyku związanym z „darmowymi” rozszerzeniami, a zwłaszcza tymi z uprawnieniami dostępu do poufnych danych, oraz o potrzebie ciągłego monitorowania i analizowania rozszerzeń w celu wykrywania złośliwych zachowań.
Rozszerzone szczegóły:
Darmowe rozszerzenia VPN obiecują prywatność, szybkość i globalny dostęp za jednym kliknięciem. Dla milionów użytkowników stanowią łatwy sposób na ominięcie ograniczeń lub ukrycie adresów IP bez konieczności płacenia abonamentu. Jednak ta obietnica często kryje w sobie kompromis: jeśli produkt jest darmowy, Twoje dane stają się produktem.
W ciągu ostatnich kilku lat grupa rozszerzeń Chrome reklamowała „Darmowy nielimitowany VPN” usługi łącznie zgromadzone ponad 9 milionów instalacjiIch nazwy, ikony i opisy wyglądały na całkowicie legalne, a nawet profesjonalne. Jednak za tą czystą fasadą, jak się później okazało, dwa z tych rozszerzeń zawierały głęboko inwazyjny kod. Były… dostępna w Chrome Web Store od prawie sześciu lat przed oznaczeniem i usunięciem 2025 maja,.
Only dwa miesiące później, A trzecie rozszerzenie, niemal identyczny pod względem opisu, stylu ikon i zachowania, pojawił się w sklepie. W chwili pisania tego tekstu jest nadal dostępny.
Te rozszerzenia robiły znacznie więcej niż tylko żądania sieciowe proxy. Pobierały ukryte pliki konfiguracyjne ze zdalnych serwerów, zmieniały ustawienia proxy w czasie rzeczywistym i przechwytywały zdarzenia nawigacyjne przeglądarki, działając jako zdalnie sterowane przekierowania proxy z ukrytymi kanałami aktualizacji. To, co wydawało się prostą, darmową siecią VPN, w praktyce okazało się mechanizmem pełnego nadzoru na poziomie przeglądarki.
W tej analizie opiszemy ewolucję tych rozszerzeń, zwrócimy uwagę na ich techniczne podobieństwa oraz omówimy konkretne techniki wykorzystywane do przechwytywania, przekierowywania i utrwalania w przeglądarce. Wyniki pokazują, jak uprawnienia takie jak webRequest, proxy i declarativeNetRequest mogą dać atakującym dostęp do złośliwych danych. pełna widoczność i kontrola nad ruchem przeglądania użytkownika.
Jeśli zostaną zainstalowane, rozszerzenia te mogą:
- Przechwytywanie i przekierowywanie każdej odwiedzanej strony.
- Zbieraj dane przeglądania i listę zainstalowanych rozszerzeń.
- Modyfikuj lub wyłącz inne narzędzia proxy i zabezpieczające.
- Kieruj ruchem przez serwery kontrolowane przez atakujących, narażając prywatną działalność na potencjalne śledzenie.

Zdjęcie 1: Jeden ze złośliwych „darmowych, nieograniczonych sieci VPN” w sklepie
Poniżej znajduje się szczegółowy opis ich metadanych, zachowania kodu i ryzyka
Tabela 1: Metadane rozszerzenia
| Pole | Rozszerzenie A | Rozszerzenie B | Rozszerzenie C |
| Identyfikator rozszerzenia | foiopecknacmiihiocgdjgbjokkpkohc | bibjcjfmgapbfoljiojpipaooddpkpai | fgpecemjbefkjlcgnhjohdonijdkfooj |
| Wyświetlana nazwa | VPN Professional - Darmowe bezpieczne i nieograniczone rozszerzenie VPN Proxy Chrome | VPN-free.pro - Bezpłatny nielimitowany VPN | Darmowy nieograniczony VPN |
| OPIS | Odblokuj dowolną stronę internetową i zachowaj bezpieczeństwo dzięki VPN Professional. Łatwe w użyciu dzięki aktywacji jednym kliknięciem. VPN Professional – najlepszy VPN! | Odblokuj dowolną witrynę i zachowaj bezpieczeństwo dzięki VPN-free.proŁatwe użytkowanie dzięki aktywacji jednym kliknięciem. VPN-free.pro - najlepszy VPN! | Odblokuj dowolną stronę internetową i zachowaj bezpieczeństwo dzięki darmowemu, nieograniczonemu VPN. Łatwe w użyciu, z aktywacją jednym kliknięciem. Darmowy, nieograniczony VPN – najlepszy VPN! |
| E-mail Pomoc | [email chroniony] | [email chroniony] | [email chroniony] |
| Data utworzenia | 21 września 2019 | 09 maja 2020 roku | Lipiec 21 2025 |
| Ostatnia aktualizacja | Lipiec 07 2024 | Luty 14 2025 | Sierpnia 22 2025 |
| Usunięto ze sklepu | 21 maja 2025 (usunięto) | 21 maja 2025 (usunięto) | W sklepie (nie usunięto) |
| Komentarz | Udostępnia domenę free-vpn.pro z B; usunięto ze sklepu. | Udostępnianie wsparcia dla domeny free-vpn.pro z A; usunięte ze sklepu. | Inny adres e-mail (Gmail); ta sama treść i styl ikony; nie usunięto jeszcze. |
Podczas gdy legalna przeglądarka VPN potrzebuje jedynie kontroli proxy z konfiguracją, która jest zazwyczaj statyczna lub pobrana z znanego, należącego do marki interfejsu API przez protokół HTTPS, analiza opisanych rozszerzeń wykazała zdalnie kontrolowane konfiguracje, dynamiczne aktualizacje kodu i pełne przechwytywanie nawigacji, co umożliwia atakującym dyskretne przekierowywanie, blokowanie lub modyfikowanie ruchu użytkowników oraz zmianę zachowania rozszerzeń po instalacji.
Głębokie zanurzenie techniczne: Stara wersja kontra nowa wersja
Stara wersja (zauważalne podejrzane części)
Przejęcie metody
Rozszerzenie zastępuje String.prototype.trim w celu usunięcia ukośników odwrotnych z zdekodowanych ciągów znaków — używanych do cichego odszyfrowania i śledzenia zdalnych adresów URL.

Zdalne pobieranie konfiguracji (plik config.txt z wieloma adresami URL)
Rozszerzenie okresowo pobiera konfigurację obejmującą wiele adresów URL w celu aktualizacji zachowania i ładunków.
Zdalna instalacja PAC
Rozszerzenie ustawia serwer proxy Chrome za pomocą skryptu pac_script pobranego ze zdalnej konfiguracji. Instalując zdalny skrypt PAC i kontrolując punkty końcowe serwera proxy, atakujący może kierować ruch użytkowników przez kontrolowane przez siebie serwery, umożliwiając pasywne monitorowanie (rejestrowanie), aktywne wstrzykiwanie (modyfikację HTML/JS), kradzież danych uwierzytelniających lub celową podmianę treści.
Przechwytywanie nawigacji
Rozszerzenie rejestruje obiekt nasłuchujący chrome.webRequest.onBeforeRequest dla „ „kierowanie żądaniami do komputerów mainframe, umożliwiające rozszerzeniu przechwytywanie każdego ładowania strony i przekierowywanie kart do miejsc docelowych zdefiniowanych w jego zdalnej konfiguracji.
Dynamiczne aktualizacje DNR
Rozszerzenie wykorzystuje declarativeNetRequest.updateDynamicRules do zmiany filtrowania/routingu na bieżąco.
Manipulowanie historią:
Rozszerzenie używa history.replaceState("", "", 'https://${location.host}') w celu usunięcia śladów oryginalnych adresów URL przekierowań.

Deinstalacja sterowana przez serwer
Rozszerzenie uruchamia procedurę samoistnej deinstalacji na podstawie sprawdzenia zdalnego serwera („Cloudflare”), co pozwala uniknąć analizy lub celowego usunięcia.

Sprawdzanie uprawnień i samodzielne usuwanie
W przypadku gdy uprawnienie zostało cofnięte, rozszerzenie odinstalowało się samo.
Wytrwałość pracownika usługowego
Rozszerzenie wstrzykuje skrypt keepalive do kart, aby utrzymać działanie procesu roboczego w tle (unikanie wyładowań MV3).

Priorytetowe wiadomości
Rozszerzenie wysyła wiadomości do innych rozszerzeń, aby uzyskać priorytet nad nawigacją.

Fałszywe ustawienia UX
Rozszerzenie przechowuje dane o kraju/wersji/identyfikatorze użytkownika, ale nie przechowuje żadnego lokalnego kodu tunelu VPN. Jest to prawdopodobnie kwestia kosmetyczna lub decyzja serwera.
Wersja 2025
Nowa wersja, opublikowana 21 lipca 2025 r., jest wyraźnie bardziej zaawansowana i wymijająca niż poprzednia: usuwa część jawnie podejrzanego kodu, dodając jednocześnie bardziej ukryte mechanizmy, takie jak opóźniona aktywacja proxy, dynamiczne pobieranie kodu i możliwość wyłączania innych rozszerzeń. Utrudnia to wykrycie, a jednocześnie zapewnia jeszcze większą zdalną kontrolę nad przeglądarką i ruchem użytkownika. Do najważniejszych podejrzanych elementów należą:
Zdalne pobieranie konfiguracji wieloadresowej
Podobnie jak starsze wersje rozszerzeń, także i to okresowo pobiera konfigurację obejmującą wiele adresów URL w celu aktualizacji zachowania i ładunków.
Zdalny skrypt PAC
Rozszerzenie ustawia serwer proxy Chrome za pomocą skryptu pac_script pobranego ze zdalnej konfiguracji, który kieruje ruch przez serwery atakującego. Jednak w nowszej wersji skrypt PAC zawiera dwusekundowe opóźnienie przed aktywacją, które prawdopodobnie służy do omijania zabezpieczeń w piaskownicy. Dodatkowo, podstawowa logika routingu serwera proxy, w tym zmienne konfiguracyjne, jest pobierana w czasie wykonywania i wykonywana dynamicznie.

Przechwytywanie nawigacji
Rozszerzenie rejestruje obiekt nasłuchujący chrome.webRequest.onBeforeRequest dla „ „kierowanie żądaniami do komputerów mainframe, umożliwiające rozszerzeniu przechwytywanie każdego ładowania strony i przekierowywanie kart do miejsc docelowych zdefiniowanych w jego zdalnej konfiguracji.
Dynamiczne aktualizacje DNR
Rozszerzenie wykorzystuje declarativeNetRequest.updateDynamicRules do zmiany filtrowania/routingu na bieżąco.
Wytrwałość pracownika usługowego
Rozszerzenie wstrzykuje skrypt keepalive do kart, aby utrzymać działanie procesu roboczego w tle (unikanie wyładowań MV3).
Wyłącza inne rozszerzenia proxy
Rozszerzenie skanuje inne rozszerzenia z uprawnieniami proxy i jeśli je znajdzie, wyłącza je, zapewniając tym samym wyłączną kontrolę nad routingiem.

Exfiltracja
Rozszerzenie wylicza zainstalowane rozszerzenia i wysyła listę do zdalnego serwera.
Haszowanie i przesyłanie adresów URL
Rozszerzenie haszuje odwiedzane adresy URL i okresowo wysyła je do C2 w celu profilowania i targetowania.

Ryzyko i wpływ
- Całkowite przechwycenie ruchu:Instalując zdalny skrypt PAC i kontrolując punkty końcowe proxy, atakujący może kierować ruch użytkowników przez kontrolowane przez siebie serwery, umożliwiając pasywne monitorowanie (rejestrowanie), aktywne wstrzykiwanie (modyfikację HTML/JS), kradzież danych uwierzytelniających lub celową podmianę treści.
- Selektywne, ukryte przekierowanie:Dzięki aktualizacjom onBeforeRequest + DNR operator może kierować ofiary na strony phishingowe, strony pobierania plików z określonych źródeł lub farmy reklam, a następnie zmieniać ładunki bez interakcji użytkownika.
- Trwałe zdalne sterowanie:Pobieranie kodu/konfiguracji w czasie wykonywania + aktualizacje DNR + wstrzykiwanie keepalive umożliwiają operatorowi zmianę zachowania rozszerzenia po instalacji, omijając przegląd sklepu po początkowej publikacji.
- Unikanie analizy i śladów: bramki czasowe (2-sekundowy ruch bezpośredni), history.replaceState, dynamiczne odinstalowywanie po wykryciu. Wszystkie te taktyki redukują dowody kryminalistyczne i wykrywanie w piaskownicy.
- Rozszerzenie powierzchni ataku:wyłączenie innych rozszerzeń proxy lub wyliczenie zainstalowanych rozszerzeń umożliwia ukierunkowane wyłączenie narzędzi obronnych.
- Prywatność i profilowanie:zbieranie zaszyfrowanych adresów URL, list rozszerzeń i potencjalnie plików cookie/tokenów sesji (jeśli są one przekazywane serwerom atakującego) stanowi poważne naruszenie prywatności i może umożliwić przeprowadzenie ukierunkowanych ataków następczych.
Wniosek
Te rozszerzenia pokazują, jak łatwo zaufany dodatek do przeglądarki może przekształcić się w zdalnie sterowany system proxy: przez ponad sześć lat dwa niemal identyczne rozszerzenia „darmowej sieci VPN” po cichu przekierowywały ruch, aktualizowały swoje zachowanie przez ukryte kanały konfiguracji i eksfiltrowały dane użytkowników przed usunięciem, a dwa miesiące później pojawił się trzeci klon. To pokazuje, że nawet narzędzia reklamowane jako służące prywatności mogą stać się długotrwałymi instrumentami nadzoru, jeśli przyzna się im szerokie uprawnienia i minimalną kontrolę.
Warto wspomnieć, że podczas naszego śledztwa odkryliśmy sześć dodatkowych, niemal identycznych rozszerzeń. Były to jednak adblockery oraz programy do pobierania muzyki.
IOCs
Identyfikatory rozszerzeń – aktualnie aktywne rozszerzenia
- fgpecemjbefkjlcgnhjohdonijdkfooj - active - 30,000 Users (Chrome)
- kekfppnajjchccpkfaogiomfcncbgagc - 131,445 Users (Edge)
- nhiafglcjghpmcipelflfhkckdpcokid - active - 1,000 Users
- hfofhoffdcfcjgmilkpnhkamcgemaban - 100,000 Users
Identyfikatory rozszerzeń z przeszłości (które nie są już aktywne):
- foiopecknacmiihiocgdjgbjokkpkohc - 100,000 użytkowników
- bibjcjfmgapbfoljiojpipaooddpkpai - 9,000,000 użytkowników
- ngahahhlngmdfhbhkplbglnfhehnpgdb - 100,000 użytkowników
- ibibeegnncapfdcgpdnnbjbbojglhlmk - 20,000 użytkowników
- anlhakiodmebohjmkbciohpglnjifjaa - 5,000 użytkowników
Wsparcie e-maili/domen
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- free-vpn.pro
- okmusic.cyou
- dialspeed.xyz
- adsblocker.top
- facebook.adscleaner.top
- vpn-professional.company
- procompany.top
- proffconfig.top
- configapp.top
- yandexmusic.pro
- configanalytics.icu
Nazwy / branding
- „VPN Professional – bezpłatne, bezpieczne i nieograniczone rozszerzenie VPN Proxy do przeglądarki Chrome”
- „VPN-free.pro – Darmowy nielimitowany VPN”
- „Darmowy nielimitowany VPN”
- „VPN Professional – bezpłatny, nieograniczony serwer proxy VPN”
- „Blokada reklam”
- „OKmusic - скачать музыку i видео Одноклассники | OK.ru Music Downloader”
- „Czyszczenie reklam na Facebooku”
- „Szybkie wybieranie | Zakładki | Nowa karta | Szybki dostęp | Wyszukiwanie niestandardowe”
- „Скачать музыку” („Pobierz muzykę”)
Remediacja i łagodzenie
Natychmiastowe działania dla użytkowników końcowych:
- Odinstaluj wszelkie rozszerzenia pasujące do powyższych wskaźników IOC.
- Wyczyść pliki cookie przeglądarki, pamięć lokalną i wszelkie zapisane dane uwierzytelniające, które mogły zostać przechwycone, gdy rozszerzenie było aktywne.
- Zmień hasła do wrażliwych kont (szczególnie jeśli logowałeś się za pomocą przeglądarki, gdy rozszerzenie było aktywne).
- Uruchom lokalne skanowanie antywirusowe/anty-adware.
Działania przedsiębiorstwa/SOC:
- Zablokuj zidentyfikowane domeny wsparcia i hosty C2 na obwodzie sieci (DNS + proxy + zapora) na czas prowadzenia dochodzenia.
- Zapytaj o dane telemetryczne dotyczące instalacji rozszerzeń i zmian PAC (EDR/MDM: wyszukaj modyfikacje rejestru lub preferencji użyte do ustawienia PAC).
- Odwołaj sesje dla krytycznych usług, jeśli jakikolwiek ruch został przekierowany przez hosty atakujące.
- W razie potrzeby powiadom użytkowników i zażądaj ponownej instalacji przeglądarek lub zresetowania profili w punktach końcowych, których dotyczy problem.
- Zgłoś rozszerzenie(a) do Chrome Web Store, dołączając szczegółowe wskaźniki IOC i dowody potwierdzające.