Akamai przejmuje LayerX, zapewniając kompleksowe zabezpieczenia i kontrolę wykorzystania sztucznej inteligencji w czasie rzeczywistym

Dowiedz się więcej

RolyPoly VPN: złośliwe „darmowe” rozszerzenie VPN, które ciągle powraca

 

Streszczenie 

Badacze bezpieczeństwa z LayerX Security odkryli kampanię z udziałem złośliwych rozszerzeń VPN i blokujących reklamy, których celem jest kradzież poufnych danych użytkowników. Kampania ta nieustannie próbuje się odrodzić, nawet po tym, jak została wcześniej (więcej niż raz) wyłączona. Chociaż rozszerzenia będące częścią tej odrodzonej kampanii mają 31 000 aktywnych instalacji, poprzednie wersje osiągnęły łącznie ponad 9 milionów instalacji.

Niczym dziecięca „tocząca się” zabawka, która ciągle się podnosi, te złośliwe rozszerzenia (i stojący za nimi cyberprzestępcy) zdają się powracać, niezależnie od tego, ile razy zostały już usunięte. Ta kampania dobitnie przypomina o ryzyku związanym z „darmowymi” rozszerzeniami, a zwłaszcza tymi z uprawnieniami dostępu do poufnych danych, oraz o potrzebie ciągłego monitorowania i analizowania rozszerzeń w celu wykrywania złośliwych zachowań.

 

Rozszerzone szczegóły:

Darmowe rozszerzenia VPN obiecują prywatność, szybkość i globalny dostęp za jednym kliknięciem. Dla milionów użytkowników stanowią łatwy sposób na ominięcie ograniczeń lub ukrycie adresów IP bez konieczności płacenia abonamentu. Jednak ta obietnica często kryje w sobie kompromis: jeśli produkt jest darmowy, Twoje dane stają się produktem.

W ciągu ostatnich kilku lat grupa rozszerzeń Chrome reklamowała „Darmowy nielimitowany VPN” usługi łącznie zgromadzone ponad 9 milionów instalacjiIch nazwy, ikony i opisy wyglądały na całkowicie legalne, a nawet profesjonalne. Jednak za tą czystą fasadą, jak się później okazało, dwa z tych rozszerzeń zawierały głęboko inwazyjny kod. Były… dostępna w Chrome Web Store od prawie sześciu lat przed oznaczeniem i usunięciem 2025 maja,.

Only dwa miesiące później, A trzecie rozszerzenie, niemal identyczny pod względem opisu, stylu ikon i zachowania, pojawił się w sklepie. W chwili pisania tego tekstu jest nadal dostępny.

Te rozszerzenia robiły znacznie więcej niż tylko żądania sieciowe proxy. Pobierały ukryte pliki konfiguracyjne ze zdalnych serwerów, zmieniały ustawienia proxy w czasie rzeczywistym i przechwytywały zdarzenia nawigacyjne przeglądarki, działając jako zdalnie sterowane przekierowania proxy z ukrytymi kanałami aktualizacji. To, co wydawało się prostą, darmową siecią VPN, w praktyce okazało się mechanizmem pełnego nadzoru na poziomie przeglądarki.

W tej analizie opiszemy ewolucję tych rozszerzeń, zwrócimy uwagę na ich techniczne podobieństwa oraz omówimy konkretne techniki wykorzystywane do przechwytywania, przekierowywania i utrwalania w przeglądarce. Wyniki pokazują, jak uprawnienia takie jak webRequest, proxy i declarativeNetRequest mogą dać atakującym dostęp do złośliwych danych. pełna widoczność i kontrola nad ruchem przeglądania użytkownika.

Jeśli zostaną zainstalowane, rozszerzenia te mogą:

  • Przechwytywanie i przekierowywanie każdej odwiedzanej strony.
  • Zbieraj dane przeglądania i listę zainstalowanych rozszerzeń.
  • Modyfikuj lub wyłącz inne narzędzia proxy i zabezpieczające.
  • Kieruj ruchem przez serwery kontrolowane przez atakujących, narażając prywatną działalność na potencjalne śledzenie.


Zdjęcie 1: Jeden ze złośliwych „darmowych, nieograniczonych sieci VPN” w sklepie

Poniżej znajduje się szczegółowy opis ich metadanych, zachowania kodu i ryzyka 

Tabela 1: Metadane rozszerzenia

Pole Rozszerzenie A Rozszerzenie B Rozszerzenie C
Identyfikator rozszerzenia foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Wyświetlana nazwa VPN Professional - Darmowe bezpieczne i nieograniczone rozszerzenie VPN Proxy Chrome VPN-free.pro - Bezpłatny nielimitowany VPN Darmowy nieograniczony VPN
OPIS  Odblokuj dowolną stronę internetową i zachowaj bezpieczeństwo dzięki VPN Professional. Łatwe w użyciu dzięki aktywacji jednym kliknięciem. VPN Professional – najlepszy VPN! Odblokuj dowolną witrynę i zachowaj bezpieczeństwo dzięki VPN-free.proŁatwe użytkowanie dzięki aktywacji jednym kliknięciem. VPN-free.pro - najlepszy VPN! Odblokuj dowolną stronę internetową i zachowaj bezpieczeństwo dzięki darmowemu, nieograniczonemu VPN. Łatwe w użyciu, z aktywacją jednym kliknięciem. Darmowy, nieograniczony VPN – najlepszy VPN!
E-mail Pomoc [email chroniony] [email chroniony] [email chroniony]
Data utworzenia 21 września 2019 09 maja 2020 roku Lipiec 21 2025
Ostatnia aktualizacja Lipiec 07 2024 Luty 14 2025 Sierpnia 22 2025
Usunięto ze sklepu 21 maja 2025 (usunięto) 21 maja 2025 (usunięto) W sklepie (nie usunięto)
Komentarz Udostępnia domenę free-vpn.pro z B; usunięto ze sklepu. Udostępnianie wsparcia dla domeny free-vpn.pro z A; usunięte ze sklepu. Inny adres e-mail (Gmail); ta sama treść i styl ikony; nie usunięto jeszcze.

 

Podczas gdy legalna przeglądarka VPN potrzebuje jedynie kontroli proxy z konfiguracją, która jest zazwyczaj statyczna lub pobrana z znanego, należącego do marki interfejsu API przez protokół HTTPS, analiza opisanych rozszerzeń wykazała zdalnie kontrolowane konfiguracje, dynamiczne aktualizacje kodu i pełne przechwytywanie nawigacji, co umożliwia atakującym dyskretne przekierowywanie, blokowanie lub modyfikowanie ruchu użytkowników oraz zmianę zachowania rozszerzeń po instalacji.

Głębokie zanurzenie techniczne: Stara wersja kontra nowa wersja 

Stara wersja (zauważalne podejrzane części)

Przejęcie metody

Rozszerzenie zastępuje String.prototype.trim w celu usunięcia ukośników odwrotnych z zdekodowanych ciągów znaków — używanych do cichego odszyfrowania i śledzenia zdalnych adresów URL.

Zdalne pobieranie konfiguracji (plik config.txt z wieloma adresami URL)

Rozszerzenie okresowo pobiera konfigurację obejmującą wiele adresów URL w celu aktualizacji zachowania i ładunków.

Zdalna instalacja PAC

Rozszerzenie ustawia serwer proxy Chrome za pomocą skryptu pac_script pobranego ze zdalnej konfiguracji. Instalując zdalny skrypt PAC i kontrolując punkty końcowe serwera proxy, atakujący może kierować ruch użytkowników przez kontrolowane przez siebie serwery, umożliwiając pasywne monitorowanie (rejestrowanie), aktywne wstrzykiwanie (modyfikację HTML/JS), kradzież danych uwierzytelniających lub celową podmianę treści.

Przechwytywanie nawigacji

Rozszerzenie rejestruje obiekt nasłuchujący chrome.webRequest.onBeforeRequest dla „ „kierowanie żądaniami do komputerów mainframe, umożliwiające rozszerzeniu przechwytywanie każdego ładowania strony i przekierowywanie kart do miejsc docelowych zdefiniowanych w jego zdalnej konfiguracji.

Dynamiczne aktualizacje DNR

Rozszerzenie wykorzystuje declarativeNetRequest.updateDynamicRules do zmiany filtrowania/routingu na bieżąco.

Manipulowanie historią

Rozszerzenie używa history.replaceState("", "", 'https://${location.host}') w celu usunięcia śladów oryginalnych adresów URL przekierowań.

Deinstalacja sterowana przez serwer

Rozszerzenie uruchamia procedurę samoistnej deinstalacji na podstawie sprawdzenia zdalnego serwera („Cloudflare”), co pozwala uniknąć analizy lub celowego usunięcia. 

Sprawdzanie uprawnień i samodzielne usuwanie

 W przypadku gdy uprawnienie zostało cofnięte, rozszerzenie odinstalowało się samo.

Wytrwałość pracownika usługowego

Rozszerzenie wstrzykuje skrypt keepalive do kart, aby utrzymać działanie procesu roboczego w tle (unikanie wyładowań MV3).

Priorytetowe wiadomości

 Rozszerzenie wysyła wiadomości do innych rozszerzeń, aby uzyskać priorytet nad nawigacją.

Fałszywe ustawienia UX

Rozszerzenie przechowuje dane o kraju/wersji/identyfikatorze użytkownika, ale nie przechowuje żadnego lokalnego kodu tunelu VPN. Jest to prawdopodobnie kwestia kosmetyczna lub decyzja serwera.

 

Wersja 2025

Nowa wersja, opublikowana 21 lipca 2025 r., jest wyraźnie bardziej zaawansowana i wymijająca niż poprzednia: usuwa część jawnie podejrzanego kodu, dodając jednocześnie bardziej ukryte mechanizmy, takie jak opóźniona aktywacja proxy, dynamiczne pobieranie kodu i możliwość wyłączania innych rozszerzeń. Utrudnia to wykrycie, a jednocześnie zapewnia jeszcze większą zdalną kontrolę nad przeglądarką i ruchem użytkownika. Do najważniejszych podejrzanych elementów należą:

 

Zdalne pobieranie konfiguracji wieloadresowej

Podobnie jak starsze wersje rozszerzeń, także i to okresowo pobiera konfigurację obejmującą wiele adresów URL w celu aktualizacji zachowania i ładunków.

 

Zdalny skrypt PAC 

Rozszerzenie ustawia serwer proxy Chrome za pomocą skryptu pac_script pobranego ze zdalnej konfiguracji, który kieruje ruch przez serwery atakującego. Jednak w nowszej wersji skrypt PAC zawiera dwusekundowe opóźnienie przed aktywacją, które prawdopodobnie służy do omijania zabezpieczeń w piaskownicy. Dodatkowo, podstawowa logika routingu serwera proxy, w tym zmienne konfiguracyjne, jest pobierana w czasie wykonywania i wykonywana dynamicznie.

Przechwytywanie nawigacji

Rozszerzenie rejestruje obiekt nasłuchujący chrome.webRequest.onBeforeRequest dla „ „kierowanie żądaniami do komputerów mainframe, umożliwiające rozszerzeniu przechwytywanie każdego ładowania strony i przekierowywanie kart do miejsc docelowych zdefiniowanych w jego zdalnej konfiguracji.

Dynamiczne aktualizacje DNR

Rozszerzenie wykorzystuje declarativeNetRequest.updateDynamicRules do zmiany filtrowania/routingu na bieżąco.

Wytrwałość pracownika usługowego

Rozszerzenie wstrzykuje skrypt keepalive do kart, aby utrzymać działanie procesu roboczego w tle (unikanie wyładowań MV3).

Wyłącza inne rozszerzenia proxy 

Rozszerzenie skanuje inne rozszerzenia z uprawnieniami proxy i jeśli je znajdzie, wyłącza je, zapewniając tym samym wyłączną kontrolę nad routingiem.

Exfiltracja

Rozszerzenie wylicza zainstalowane rozszerzenia i wysyła listę do zdalnego serwera.

Haszowanie i przesyłanie adresów URL

Rozszerzenie haszuje odwiedzane adresy URL i okresowo wysyła je do C2 w celu profilowania i targetowania.

Ryzyko i wpływ

  • Całkowite przechwycenie ruchu:Instalując zdalny skrypt PAC i kontrolując punkty końcowe proxy, atakujący może kierować ruch użytkowników przez kontrolowane przez siebie serwery, umożliwiając pasywne monitorowanie (rejestrowanie), aktywne wstrzykiwanie (modyfikację HTML/JS), kradzież danych uwierzytelniających lub celową podmianę treści.
  • Selektywne, ukryte przekierowanie:Dzięki aktualizacjom onBeforeRequest + DNR operator może kierować ofiary na strony phishingowe, strony pobierania plików z określonych źródeł lub farmy reklam, a następnie zmieniać ładunki bez interakcji użytkownika.
  • Trwałe zdalne sterowanie:Pobieranie kodu/konfiguracji w czasie wykonywania + aktualizacje DNR + wstrzykiwanie keepalive umożliwiają operatorowi zmianę zachowania rozszerzenia po instalacji, omijając przegląd sklepu po początkowej publikacji.
  • Unikanie analizy i śladów: bramki czasowe (2-sekundowy ruch bezpośredni), history.replaceState, dynamiczne odinstalowywanie po wykryciu. Wszystkie te taktyki redukują dowody kryminalistyczne i wykrywanie w piaskownicy.
  • Rozszerzenie powierzchni ataku:wyłączenie innych rozszerzeń proxy lub wyliczenie zainstalowanych rozszerzeń umożliwia ukierunkowane wyłączenie narzędzi obronnych.
  • Prywatność i profilowanie:zbieranie zaszyfrowanych adresów URL, list rozszerzeń i potencjalnie plików cookie/tokenów sesji (jeśli są one przekazywane serwerom atakującego) stanowi poważne naruszenie prywatności i może umożliwić przeprowadzenie ukierunkowanych ataków następczych.

Wniosek

Te rozszerzenia pokazują, jak łatwo zaufany dodatek do przeglądarki może przekształcić się w zdalnie sterowany system proxy: przez ponad sześć lat dwa niemal identyczne rozszerzenia „darmowej sieci VPN” po cichu przekierowywały ruch, aktualizowały swoje zachowanie przez ukryte kanały konfiguracji i eksfiltrowały dane użytkowników przed usunięciem, a dwa miesiące później pojawił się trzeci klon. To pokazuje, że nawet narzędzia reklamowane jako służące prywatności mogą stać się długotrwałymi instrumentami nadzoru, jeśli przyzna się im szerokie uprawnienia i minimalną kontrolę.

Warto wspomnieć, że podczas naszego śledztwa odkryliśmy sześć dodatkowych, niemal identycznych rozszerzeń. Były to jednak adblockery oraz programy do pobierania muzyki.

IOCs

Identyfikatory rozszerzeń – aktualnie aktywne rozszerzenia

  • fgpecemjbefkjlcgnhjohdonijdkfooj - active - 30,000 Users (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc - 131,445 Users (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid - active - 1,000 Users
  • hfofhoffdcfcjgmilkpnhkamcgemaban - 100,000 Users

Identyfikatory rozszerzeń z przeszłości (które nie są już aktywne):

  • foiopecknacmiihiocgdjgbjokkpkohc - 100,000 użytkowników
  • bibjcjfmgapbfoljiojpipaooddpkpai - 9,000,000 użytkowników
  • ngahahhlngmdfhbhkplbglnfhehnpgdb - 100,000 użytkowników 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk - 20,000 użytkowników
  • anlhakiodmebohjmkbciohpglnjifjaa - 5,000 użytkowników

Wsparcie e-maili/domen

Nazwy / branding

  • „VPN Professional – bezpłatne, bezpieczne i nieograniczone rozszerzenie VPN Proxy do przeglądarki Chrome”
  • „VPN-free.pro – Darmowy nielimitowany VPN”
  • „Darmowy nielimitowany VPN”
  • „VPN Professional – bezpłatny, nieograniczony serwer proxy VPN”
  • „Blokada reklam”
  • „OKmusic - скачать музыку i видео Одноклассники | OK.ru Music Downloader”
  • „Czyszczenie reklam na Facebooku”
  • „Szybkie wybieranie | Zakładki | Nowa karta | Szybki dostęp | Wyszukiwanie niestandardowe”
  • „Скачать музыку” („Pobierz muzykę”)

 

 

Remediacja i łagodzenie

Natychmiastowe działania dla użytkowników końcowych:

  1. Odinstaluj wszelkie rozszerzenia pasujące do powyższych wskaźników IOC.
  2. Wyczyść pliki cookie przeglądarki, pamięć lokalną i wszelkie zapisane dane uwierzytelniające, które mogły zostać przechwycone, gdy rozszerzenie było aktywne.
  3. Zmień hasła do wrażliwych kont (szczególnie jeśli logowałeś się za pomocą przeglądarki, gdy rozszerzenie było aktywne).
  4. Uruchom lokalne skanowanie antywirusowe/anty-adware.

Działania przedsiębiorstwa/SOC:

  1. Zablokuj zidentyfikowane domeny wsparcia i hosty C2 na obwodzie sieci (DNS + proxy + zapora) na czas prowadzenia dochodzenia.
  2. Zapytaj o dane telemetryczne dotyczące instalacji rozszerzeń i zmian PAC (EDR/MDM: wyszukaj modyfikacje rejestru lub preferencji użyte do ustawienia PAC).
  3. Odwołaj sesje dla krytycznych usług, jeśli jakikolwiek ruch został przekierowany przez hosty atakujące.
  4. W razie potrzeby powiadom użytkowników i zażądaj ponownej instalacji przeglądarek lub zresetowania profili w punktach końcowych, których dotyczy problem.
  5. Zgłoś rozszerzenie(a) do Chrome Web Store, dołączając szczegółowe wskaźniki IOC i dowody potwierdzające.