Исследователи из команды Socket Threat Research Team обнаружили масштабную кампанию по распространению вредоносных расширений в официальном магазине Chrome. В рамках этой операции было внедрено 108 заражённых программ, опубликованных под пятью разными именами издателей, но работающих на одного оператора.
Эти расширения маскируются под различные полезные инструменты, такие как боковые панели для Telegram и YouTube, переводчики, игровые автоматы и утилиты. В фоновом режиме они собирают и передают на сервер злоумышленника украденные учётные данные, идентификаторы и историю просмотров пользователей.
Особую опасность представляет расширение Telegram Multi-account, которое крадёт активную веб-сессию мессенджера и каждые 15 секунд передаёт её злоумышленнику. Это позволяет получить полный доступ к чатам и контактам без необходимости ввода пароля или прохождения двухфакторной аутентификации.
Большинство расширений нацелены на кражу профилей Google, передавая их при каждом входе пользователя. Другие содержат бэкдор, позволяющий открывать в браузере жертвы любые ссылки. Некоторые расширения внедряют рекламу и посторонние скрипты на просматриваемые страницы.
Запросы на удаление вредоносных расширений были отправлены в Chrome Web Store и Google Safe Browsing, однако на момент публикации большинство из них всё ещё доступны для установки. Полный список заражённых расширений можно найти на официальном сайте исследователей.
