Опасные расширения для Chrome: скрытая угроза вашей приватности
Расширения для браузера Chrome созданы для повышения удобства и функциональности, но зачастую они становятся скрытыми инструментами вредоносных атак. В последние годы исследователи безопасности обнаружили два подозрительных расширения, которые без ведома пользователей собирали и передавали личные данные уже много лет.
На первый взгляд, эти расширения выглядели как безобидные инструменты для работы с прокси или тестирования скорости сети. Однако за кулисами они скрывали опасные функции — перехват трафика и кражу конфиденциальной информации. Что особенно тревожно — оба расширения были доступны в официальном магазине Chrome, что делает ситуацию особенно серьезной.
Обнаруженные угрозы: что скрывается за маской безобидных инструментов
Расширения Phantom Shuttle и их истинное назначение
Исследователи из компании Socket обнаружили два расширения под одинаковым названием — «Phantom Shuttle». Они позиционировались как инструменты для проксирования трафика и тестирования скорости соединения, предназначенные для зарубежных специалистов, работающих с международным интернетом. Эти расширения продавались по подписке и стоили от примерно 1,40 до 13,60 долларов.
Внешне всё выглядело законно: описания совпадали с функционалом, цены казались разумными. Но главная опасность скрывалась после установки — расширения перехватывали весь веб-трафик пользователя.
Механизм работы вредоносных расширений
Как Phantom Shuttle крадет ваши данные
Расширения маршрутизировали весь интернет-трафик через прокси-сервера, управляемые злоумышленниками. Для этого использовались встроенные учетные данные, зашитые в код расширения. Чтобы скрыть свою деятельность, злоумышленники спрятали эти данные внутри фальшивых библиотек, таких как jQuery, и использовали особую кодировку для шифрования секретных ключей.
Когда расширение активировано, оно перехватывает HTTP-запросы и аутентификационные вызовы на любых сайтах, что позволяет ему собирать логины, пароли, номера кредитных карт, персональные сведения, куки-сессий и API-токены — всё, что передается по сети.
Как расширение контролировало ваш трафик
Для постоянного маршрутизации трафика через свои сервера, расширение динамически перенастраивало настройки прокси в Chrome с помощью автоматической конфигурационной скрипты. Это обеспечивало, что все ваши запросы проходили именно через инфраструктуру злоумышленников.
В режиме «умного» режима Phantom Shuttle перенаправлял трафик более чем с 170 популярных доменов, включая платформы для разработчиков, облачные сервисы, социальные сети и даже сайты с развлекательным контентом для взрослых. В то же время, внутренние сети и командные серверы злоумышленников оставались исключенными, чтобы не нарушать работу или не привлекать лишнего внимания.
Что может сделать злоумышленник, используя такие расширения
Работая как «человек посередине», расширение могло видеть всю вашу активность в интернете. Оно перехватывало вводимые вами данные — логины, пароли, номера карт, личные сведения, а также куки и токены, используемые для авторизации на сайтах и в приложениях.
Что делают разработчики и как защититься?
После обращения к Google представители компании подтвердили, что оба опасных расширения были удалены из Chrome Web Store. Но угрозы такого рода могут появляться снова, поэтому важно знать, как защититься.
Практические советы по безопасному управлению расширениями
- Проверьте список установленных расширений, набрав в адресной строке chrome://extensions и внимательно изучите каждое из них.
- Обратите особое внимание на расширения, связанные с прокси, VPN, сетью или загрузчиками — они требуют дополнительной проверки.
- Если что-то вызывает сомнение, отключите расширение, нажав «Отключить». Так вы прекратите его работу, не удаляя полностью.
- Для полного удаления расширения — нажмите «Удалить» и перезапустите браузер, чтобы изменения вступили в силу.
Как снизить риски при установке расширений
Каждое новое расширение увеличивает поверхность атаки. Если оно не критично для вашей работы, лучше не устанавливать его вовсе. Надежные разработчики обычно публикуют свои расширения в официальном магазине и имеют подтвержденную репутацию.
Обратите внимание на отзывы: избегайте расширений с малым количеством отзывов или с множеством схожих положительных комментариев за короткий срок. Особенно опасны расширения, запрашивающие права на «чтение и изменение данных на всех сайтах».
Используйте менеджеры паролей, чтобы создавать уникальные пароли и не использовать один и тот же логин и пароль на разных сайтах. Это поможет снизить ущерб в случае, если какое-либо расширение все-таки окажется вредоносным.
Дополнительные меры защиты
Проверьте, не оказались ли ваши аккаунты скомпрометированы — многие менеджеры паролей и онлайн-сервисы предлагают встроенное сканирование утечек. При обнаружении утечек обязательно меняйте пароли и активируйте двухфакторную аутентификацию.
Используйте антивирусное программное обеспечение, которое сможет обнаружить подозрительную активность, злоупотребление прокси и изменения в настройках браузера, — это значительно усложнит работу злоумышленникам.
Помните, что расширения, встроенные в браузер, имеют огромный потенциал для шпионажа. Поэтому регулярно пересматривайте список установленных расширений и будьте внимательны при их установке и использовании.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.