Lažni PDF instalira Chrome ekstenziju koja krade sesije korisnika

Vesti, 29.06.2026, 10:30 AM

Istraživači upozoravaju na novu phishing kampanju u kojoj napadači koriste zlonamernu Chrome ekstenziju kako bi preuzeli kontrolu nad Windows računarima i izvršavali PowerShell komande.

Napad počinje imejlom sa prilogom koji izgleda kao PDF dokument, ali je u pitanju JavaScript fajl sa ekstenzijom .pdf.js. Nakon pokretanja, fajl preuzima dodatne komponente malvera i započinje instalaciju zlonamerne Chrome ekstenzije.

Tokom tog procesa PowerShell skripta menja Chrome podešavanja kako bi se ekstenzija instalirala kao da ju je postavio administrator sistema, čime se zaobilazi uobičajena procedura instalacije.

Nakon aktiviranja ekstenzija prikuplja kolačiće pregledača, informacije o otvorenim karticama, URL adresama, jezičkim podešavanjima i druge podatke koji mogu poslužiti za identifikaciju korisnika.

Istraživači posebno izdvajaju način na koji napadači zloupotrebljavaju funkciju Chrome Native Messaging. Reč je o legitimnom mehanizmu koji omogućava komunikaciju između Chrome ekstenzija i aplikacija na računaru.

Umesto da direktno pokreće PowerShell, zlonamerna ekstenzija šalje komande Windows aplikaciji, koja zatim izvršava PowerShell komande na računaru žrtve. Na taj način napadači zloupotrebljavaju postojeće funkcije Chrome-a i Windows-a kako bi prikrili svoje aktivnosti.

Pored prikupljanja podataka, napadači mogu da preuzmu kolačiće aktivnih sesija i tako pristupe nalozima na kojima je korisnik već prijavljen, čak i kada je uključena višefaktorska autentifikacija (MFA).

Stručnjaci preporučuju korisnicima da ne otvaraju priloge iz sumnjivih imejlova, da obrate pažnju na stvarne ekstenzije fajlova, redovno proveravaju instalirane Chrome ekstenzije i uklone one koje ne prepoznaju ili više ne koriste.

Dodatnu zaštitu predstavlja odjavljivanje sa važnih naloga nakon završetka rada, čime se poništavaju aktivne sesije i smanjuje mogućnost njihove zloupotrebe ukoliko su kolačići kompromitovani.