Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Более 100 расширений для Chrome перехватывают сеансы и крадут учетные данные (http://txgate.io:443/showthread.php?t=51297295)

WWW 05-26-2025 12:02 PM
<div id="post_message_792876">

Аналитики DomainTools Intelligence (DTI) <a href="https://dti.domaintools.com/dual-function-malware-chrome-extensions/" target="_blank">обнаружили </a>более 100 вредоносных расширений для браузера Chrome, замаскированных под VPN, ИИ-ассистенты и криптоутилиты. Расширения используются для кражи файлов cookie и скрытого выполнения удаленных скриптов.<br/>
<br/>
По словам экспертов, неизвестные злоумышленники распространяют вредоносные расширения с февраля 2024 года.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Злоумышленники создают сайты, маскирующиеся под легитимные сервисы: инструменты для повышения производительности, помощники для создания и анализа рекламы и медиафайлов, VPN-сервисы, криптоинструменты, банковские услуги и многое другое. Такие сайты побуждают пользователей установить соответствующие вредоносные расширения из Chrome Web Store», — рассказывают исследователи.</font>
</td>
</tr>
</table>
</div>Некоторые из обнаруженных сайтов-приманок выдают себя за легитимные продукты и сервисы, включая DeepSeek, Manus, DeBank, FortiVPN, YouTube и Site Stats, чтобы убедить пользователей загрузить и установить расширения. После этого они собирают из браузера файлы cookie, получают произвольные скрипты с удаленного сервера и устанавливают WebSocket-соединение для работы в качестве прокси и маршрутизации трафика.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512869/fortivpn.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Один из мошеннических сайтов

</td>
</tr>
</table>
</div>На первый взгляд расширения действительно выполняют заявленные функции, однако при этом они воруют учетные данные и файлы cookie, перехватывают сеансы, внедряют в браузер рекламу, создают вредоносные перенаправления, манипулируют трафиком и занимаются фишингом, манипулируя DOM.<br/>
<br/>
Кроме того, расширения настроены на предоставление себе чрезмерных прав через файл manifest.json, что позволяет им взаимодействовать с каждым посещаемым сайтом, выполнять произвольный код, полученный с контролируемого злоумышленником домена, осуществлять вредоносные редиректы и даже внедрять на страницы рекламу.<br/>
<br/>
Расширения используют обработчик события onreset в DOM (Document Object Model) для выполнения кода, вероятно, в попытке обойти CSP (Content Security Policy).<br/>
<br/>
Пока неясно, как именно жертв заманивают на фиктивные сайты, но исследователи предполагают, что для этого используются обычные методы, включая фишинг и публикации в социальных сетях.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Поскольку расширения появляются как в Chrome Web Store, так и на сайтах, они могут отображаться в результатах обычного веб-поиска и при поиске в магазине Chrome, — объясняют аналитики. — Многие из сайтов-приманок использовали трекинг ID Facebook**, что наводит на мысль о том, что они используют приложения Facebook/Meta* для привлечения посетителей. Возможно, [расширения продвигаются] с помощью страниц Facebook, групп и даже рекламы в соцсети».</font>
</td>
</tr>
</table>
</div>На данный момент неизвестно, кто стоит за этой вредоносной кампанией. Получив информацию от исследователей, инженеры Google удалили почти все расширения из официального магазина.<br/>
<br/>
Полный список вредоносных доменов с рекламой расширений доступен <a href="https://github.com/DomainTools/SecuritySnacks/blob/main/2025/DualFunction-Malware-Chrome-Extensions" target="_blank">на GitHub</a> DTI. Среди них:<ul><li>earthvpn[.]top;</li>
</ul><ul><li>irontunnel[.]world и iron-tunnel[.]com;</li>
</ul><ul><li>raccoon-vpn[.]world;</li>
</ul><ul><li>orchid-vpn[.]com;</li>
</ul><ul><li>soul-vpn[.]com;</li>
</ul><ul><li>forti-vpn[.]com и fortivnp[.]com;</li>
</ul><ul><li>debank-extension[.]world и debank[.]sbs, debank[.]click;</li>
</ul><ul><li>youtube-vision[.]com и youtube-vision[.]world;</li>
</ul><ul><li>deepseek-ai[.]link;</li>
</ul><ul><li>calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com;</li>
</ul><ul><li>whale-alerts[.]org и whale-alert[.]life;</li>
</ul><ul><li>madgicxads[.]world и madgicx-plus[.]com;</li>
</ul><ul><li>similar-net[.]com;</li>
</ul><ul><li>workfront-plus[.]com;</li>
</ul><ul><li>flight-radar[.]life.</li>
</ul><br/>
<a href="https://xakep.ru/2025/05/21/chrome-extensions-malware/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 03:58 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.