Специалисты по кибербезопасности обнаружили серьезную угрозу внутри браузера Google Chrome, которая становится все более распространенной. Несколько популярных расширений маскируются под полезные инструменты, но на самом деле скрытно захватывают контроль над пользовательскими аккаунтами. Эти расширения подделывают известные платформы для управления персоналом и бизнес-приложения, такие как Workday, NetSuite и SAP SuccessFactors.
Как работают вредоносные расширения
После установки такие расширения начинают функционировать в фоновом режиме, бесшумно собирая важные данные. Они крадут сессионные cookies — небольшие куски информации, которые позволяют сайтам распознавать, что пользователь уже вошел в систему, без необходимости повторного ввода пароля. Получив эти cookies, злоумышленники получают возможность заходить в аккаунты без пароля, а некоторые расширения даже блокируют доступ к страницам безопасности, что мешает пользователям менять пароли, отключать аккаунты или просматривать историю входов.
Механизм атаки и последствия
Данный тип атаки выходит за рамки простого кражи учетных данных. Он лишает пользователей возможности реагировать на угрозу: сбои при смене пароля, исчезновение настроек аккаунта и невозможность использования двухфакторной аутентификации делают восстановление контроля практически невозможным. В результате злоумышленники могут сохранять долгосрочный доступ к аккаунтам жертв.
Обнаружение и удаление вредоносных расширений
Специалисты из команды Threat Research компании Socket выявили пять вредоносных расширений, связанных с этой кампанияй. Они позиционировались как инструменты для повышения продуктивности или безопасности, но были созданы для захвата аккаунтов. В настоящее время Google заявила, что эти расширения удалены из официального магазина Chrome Web Store, однако некоторые версии все еще доступны на сторонних сайтах загрузки, что представляет опасность для пользователей.
Если вы обнаружите в своем браузере расширения с такими названиями, как указано ниже, рекомендуется немедленно их удалить:
- Название 1
- Название 2
- и так далее
После удаления рекомендуется перезагрузить браузер и, при использовании синхронизации, повторить процедуру на всех связанных устройствах, чтобы полностью отключить вредоносные компоненты.
Что делать после удаления расширений
Удаление — только первый шаг. Необходимо сменить пароли всех учетных записей, к которым был получен доступ через эти расширения. Лучше использовать другой браузер или устройство, чтобы исключить риск повторного заражения.
Использование менеджера паролей поможет создавать надежные, уникальные пароли и хранить их в безопасности. Также важно проверить, не были ли ваши данные раскрыты в результате утечек: многие современные менеджеры паролей включают встроенные сканеры утечек, позволяющие обнаружить, если ваш email или пароли попали в базы злоумышленников.
Рекомендации по обеспечению безопасности
- Устанавливайте только необходимые расширения и регулярно проверяйте их список.
- Обращайте внимание на расширения, которые запрашивают доступ к cookies, данным браузера или управлению аккаунтами — такие разрешения могут использоваться для захвата сессий.
- Избегайте загрузки расширений с сторонних ресурсов, где могут находиться устаревшие или вредоносные версии.
Использование антивирусных программ помогает обнаруживать подозрительные расширения, блокировать вредоносное поведение и предупреждать о потенциальных угрозах до возникновения проблем. Надежная защита — залог безопасности ваших данных.
Дополнительные меры защиты и советы
Если ваш аккаунт был скомпрометирован, рекомендуется сменить пароли и использовать разные устройства для входа. Также полезно проверить активность аккаунтов — подозрительные входы или местоположения требуют особого внимания. Регулярно следите за безопасностью и придерживайтесь простых правил: устанавливайте только необходимые расширения, избегайте сомнительных источников и внимательно относитесь к разрешениям браузерных дополнений.
Заключение
Вредоносные расширения в Chrome маскируются под профессиональные инструменты и легко внедряются в повседневную работу. Их профессиональный внешний вид и кажущаяся безобидность делают их особенно опасными. Самое важное — уделять несколько минут на проверку установленных дополнений и придерживаться правил безопасного использования браузера. Это поможет сохранить контроль над своими данными и снизить риск атак.
Ярослав Конощук
Начинал в 2006-м редактором на ленте новостей сайта E-NEWS. С 2012-го перешел работать «в поля». Парламентский корреспондент трех созывов. Сотрудничал с различными интернет-изданиями и информационными агентствами.