LayerX выявил более 40 вредоносных расширений для браузеров, которые являются частью трех отдельных фишинговых кампаний.
Первоначальное обнаружение этой кампании было осуществлено DomainTools Intelligence (DTI) команда, которая определил список подозрительных доменов которые общались с расширениями браузера, маскирующимися под легитимные бренды. Однако, хотя исследование DTI предоставило список вредоносных доменов, он не выявил полный список отдельных вредоносных расширений.
Основываясь на первоначальном исследовании DTI, LayerX исследовал отмеченные URL-адреса, чтобы раскрыть фактические метаданные расширения Chrome. Анализируя связанные страницы расширения, LayerX смог определить:
- Идентификаторы расширений
- Имена расширений
- Издатели, стоящие за ними
- Метаданные расширения, такие как дата публикации, последнее обновление программного обеспечения и т. д.
Это расследование показало, 40+ вредоносных расширений, многие из которых все еще доступны в магазине Google Chrome.
Полный список расширений представлен в конце этой статьи.
Основные выводы анализа LayerX
При более тщательном анализе страниц и поведения расширений LayerX выявил несколько важных закономерностей и идей:
1. Страницы расширений, созданные с помощью искусственного интеллекта
Вредоносные страницы расширений демонстрировали очень схожую структуру, форматирование и язык, что указывает на вероятность того, что они были автоматически сгенерированы с использованием инструментов ИИ. Эта тактика позволила злоумышленникам быстро масштабировать свои усилия на десятки поддельных инструментов с минимальными ручными усилиями.
2. Имитация популярных инструментов и брендов
Расширения были тщательно разработаны для имитации известных платформ, включая:
- Fortinet / FortiVPN
- DeepSeek ИИ
- Calendly
- Вспомогательные инструменты YouTube
- Крипто-утилиты, такие как DeBank
Используя доверие известных имен, эти вредоносные инструменты эффективно обходили подозрения пользователей и избегали проверки во время установки.
3. Изощренная маскировка бренда
Они не просто пытались выдать себя за известные законные расширения и/или бренды, они пытались сделать себя похожими:
- Зарегистрированные доменные имена, которые выглядят похожими (например, calendlydaily[.]world и calendly-director[.com], чтобы выдать себя за Calendly)
- Для всех расширений, являющихся частью этой кампании, домен издателя и контактной электронной почты не был частной учетной записью Gmail, а был независимым доменом, чтобы выглядеть более правдоподобно.
- Контактные адреса электронной почты имели стандартный формат «support@domain-name», что снова придавало большую достоверность и создавало впечатление, что за этим стоит законный издатель.
Эти расширения предоставляют злоумышленникам постоянный доступ к сеансам пользователей, что позволяет осуществлять кражу данных, выдавать себя за другое лицо и потенциально проникать в корпоративную среду.
Как организации могут отреагировать
Текущая волна вредоносных расширений подчеркивает ключевое слепое пятно в состоянии безопасности многих организаций: сам браузер. Вот как организации могут предпринять упреждающие шаги для снижения рисков:
1. Блокировка вредоносных расширений по идентификатору расширения
Организации могут вручную блокировать вредоносные расширения с помощью MDM или политики браузера. Однако этот метод часто является трудоемким, требуя от групп безопасности отслеживать идентификаторы расширений, отслеживать новые угрозы и реагировать практически в режиме реального времени.
2. Обеспечьте соблюдение гигиены при продлении срока службы
Примите основные правила гигиены для расширений браузера:
- Блокировать расширения от неизвестных или непроверенных издателей
- Ограничить установку молодых расширений (недавно опубликовано)
- Отметьте расширения с низким количеством отзывов или необычными запросами разрешений
- Избегайте инструментов, связанных с подозрительными или поддельными доменами.
3. Блокируйте расширения, даже если они удалены из магазина Chrome
Хотя некоторые скомпрометированные расширения уже удалены из магазина Google Chrome, удаление из магазина не удаляет активные установки из браузеров пользователей. Поэтому пользователи и организации должны вручную зайти и удалить их.
Как LayerX может помочь
LayerX предоставляет специализированную платформу безопасности браузера, которая непрерывно отслеживает и оценивает расширения в режиме реального времени. Она предлагает полное обнаружение всех расширений, автоматическую классификацию рисков и детализированные параметры принудительного применения для блокировки вредоносных расширений.
Среди прочих возможностей он может:
- Автоматически блокировать вредоносные или высокорисковые расширения
- Обнаруживайте расширения, которые выполняют подозрительные действия, такие как кража файлов cookie, внедрение скриптов и т. д.
- Разрешить администраторам устанавливать и применять политики расширения в масштабах всей организации
- Будьте в курсе быстро меняющихся угроз с помощью телеметрии и разведки угроз
Для организаций, обеспокоенных поверхностью угроз расширений браузера, LayerX предлагает бесплатный аудит расширений браузера. Аудит включает обнаружение всех расширений браузера, установленных в вашей среде, отображение того, какие расширения установлены у пользователей, и действенные рекомендации по устранению воздействия вредоносных расширений.
Открыть зарегистрироваться для прохождения дополнительного аудита.
Список идентификаторов вредоносных расширений:
| Идентификатор расширения | Имя расширения | Издатель |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Бесплатный помощник на основе искусственного интеллекта | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Статистика сайта | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Генератор названий брендов одежды | https://clothingbrandnamegenerator[.]app |
| дохмиглипинохфлхапдагфгблдхмооджл | DeBank – Цифровые Активы | винчестер[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Сектор AML | Бесплатная проверка криптовалют AML | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Видение Крипто Китов | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Бесплатное программное обеспечение для планирования встреч | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Бесплатное программное обеспечение для планирования встреч | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Бесплатный инструмент для Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Двойная паутина | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | Браузер SQLite | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | Чат DeepSeek AI | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | Переписчик предложений с ИИ | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Конвертировать PDF в JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | Валидатор HTML | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS-проверка | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Калькулятор почасовой оплаты труда | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | Валидатор CSS | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Проверка электронной почты — проверьте адрес электронной почты в один клик | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Предупреждение о криптокитах – данные о транзакциях в блокчейне | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Веб-аналитика – проверка трафика веб-сайта и SEO | https://web-analytics[.]top |
| Gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – бесплатный инструмент Ad Spy для Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – суперприложение для метарекламодателей | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Похожие сети – проверка трафика и SEO веб-сайта | https://similar-net[.]com |
| оооххнгпнкнпдхмдмпмоццгжммкклеипн | Meta Spy – бесплатный инструмент для отслеживания рекламы на Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Бесплатный VPN – Raccoon | Безлимитный VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Бесплатный VPN – Orchid | Безлимитный VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN бесплатно – Soul VPN безлимитный VPN-прокси | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Мониторинг сайтов | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | Писатель AI | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | Генератор рекламы на основе искусственного интеллекта | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Генератор заголовков | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Веб-наблюдение | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Видение YouTube | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Веб-метрики – проверка трафика веб-сайта и SEO | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Цена биткойнов в реальном времени | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Сокращение ссылок | https://u99[.]pro |
