Otkriveno više od 100 lažnih ekstenzija za Chrome: skriveni špijuni u pregledaču kradu lozinke i naloge

Vesti, 21.05.2025, 11:30 AM

Od februara prošle godine za sada nepoznati sajber kriminalac napravio je više 100 lažnih Chrome ekstenzija. Ove ekstenzije, koje se na prvi pogled čine kao korisni alati - VPN-ovi, AI asistenti, SEO alati ili dodaci za kriptovalute - kriju funkcionalnosti koje omogućavaju krađu podataka i kompromitovanje korisničkih naloga, navodi se u izveštaju DomainTools-a koji detaljno opisuje ovu „masovnu, kontinuiranu kampanju zlonamernih Chrome ekstenzija“.

U ovom trenutku, mnoge od otkrivenih ekstenzija su i dalje dostupne u Chrome veb prodavnici.

„Ekstenzije obično imaju dvostruku funkcionalnost, generalno izgleda da funkcionišu kako je predviđeno, ali se i povezuju sa zlonamernim serverima da bi slale korisničke podatke, primale komande i izvršavale proizvoljni kod“, navodi se u izveštaju.

Neke od lažnih ekstenzija koje su primetili istraživači DomainTools-a su Deepseek AI, DeBank, Manus AI, Eart VPN, Eelephant, Forti VPN i SiteStats.

Napad počinje sa sajta koji se predstavlja kao legitimni servis a zapravo služi kao mamac usmeravajući korisnike u Google-ovu Chrome veb prodavnicu da bi instalirali odgovarajuću ekstenziju.

Kada korisnik instalira ekstenziju, ona zaista može da obavlja neku osnovnu funkciju, ali paralelno sa tim, u pozadini uspostavlja kontakt sa serverima napadača, preuzima skripte, prikuplja kolačiće, otima sesije, izvršava zlonamerni kod i manipuliše saobraćajem. Neke ekstenzije čak postaju mrežni proksi i preusmeravaju sav korisnički saobraćaj preko zlonamernih servera.

Istraživači iz DomainTools-a ističu da su ekstenzije dizajnirane sa prekomernim dozvolama, što im omogućava interakciju sa svakim posećenim sajtom, izvršavanje skripti preuzetih sa domena koje kontroliše napadač, zlonamerna preusmeravanja, pa čak i ubacivanje oglasa.

Napadač je do sada napravio više od 100 veb sajtova i isto toliko ekstenzija. Mnogi od sajtova koriste isti obrazac: domen sa nastavkom .top, registar NameSilo, Cloudflare kao hosting provajdera i SSL sertifikate izdavača WE1.

Interesantno je da su mnogi od sajtova koristili Facebook Tracker ID-ove, što ukazuje da se na neki način koriste Facebook/Meta aplikacije, stranice, grupe, pa čak i oglasi kako bi se privukli posetioci. Korisnici mogu naleteti na ovakve sajtove čak i prilikom obične Google ili Facebook pretrage.

Još jedna manipulacija uočena je kod lažnih ekstenzija koje se predstavljaju kao DeepSeek: korisnici koji su ostavljali nisku ocenu (1-3 zvezdice) bili su preusmereni na privatne stranice za povratne informacije na domenu ai-chat-bot[.]pro, dok su oni koji daju visoku ocenu (4-5 zvezdica) automatski upućivani na zvaničnu stranicu Chrome veb prodavnice. Time se veštački održava visoka ocena ekstenzije.

Google je, nakon prijava, uklonio veliki broj zlonamernih ekstenzija, ali zbog zakašnjenja u detekciji i reakciji, veliki broj korisnika je već bio izložen riziku.

Stručnjaci upozoravaju korisnike da budu oprezni i slede sledeće preporuke:

∞ Instalirajte isključivo ekstenzije renomiranih i poznatih programera

∞ Pažljivo proverite dozvole koje ekstenzija traži — ako traži više nego što je logično za njenu funkciju, budite sumnjičavi

∞ Proverite komentare i ocene, ali imajte na umu da ocene mogu biti lažne

∞ Koristite pouzdani antivirusni softver

Ilustracija: AI