Расширения Chrome предназначены для повышения удобства работы в браузере, однако за их безобидным внешним видом скрываются серьезные угрозы. Недавние исследования выявили, что два популярных расширения использовались злоумышленниками для кражи чувствительной информации пользователей в течение нескольких лет.
Маскировка под безопасные инструменты
Эти расширения выглядели как безобидные прокси-сервисы и инструменты для проверки скорости сети. Однако на деле они перехватывали интернет-трафик и украдывали личные данные. Более того, оба расширения были размещены в официальном магазине Chrome — Chrome Web Store, что значительно усложняет задачу для обычных пользователей по их обнаружению.
Как работают эти расширения
Исследователи из Socket обнаружили, что расширения с названием «Phantom Shuttle» использовались для маршрутизации трафика через контролируемые злоумышленниками прокси-серверы. В коде расширений встроены жестко закодированные учетные данные, которые скрыты с помощью специального шифра. После установки расширение слушает сетевую активность и перехватывает HTTP-запросы, включая аутентификационные вызовы.
Чтобы обеспечить постоянный контроль, расширение динамически перенастраивает настройки прокси в браузере, используя скрипты автоматической конфигурации. В результате злоумышленники получают возможность видеть все данные, отправляемые пользователем, включая пароли, номера кредитных карт, личную информацию и API-токены.
Что именно воруют расширения
- Логины и пароли
- Данные кредитных карт
- Личные сведения и идентификаторы сессий
- API-ключи и токены
Как защититься и что делать
Google уже удалил эти расширения из официального магазина, однако пользователи должны проявлять особую осторожность. Перед установкой новых расширений важно проверить их авторство, отзывы и разрешения, которые они запрашивают.
Для удаления нежелательных расширений в Chrome выполните следующую последовательность:
- Откройте страницу chrome://extensions в адресной строке.
- Просмотрите список установленных расширений и отключите или удалите те, что вызывают сомнения.
- После внесения изменений перезапустите браузер, чтобы изменения вступили в силу.
Общие рекомендации по безопасности
- Устанавливайте расширения только из проверенных источников, отдавая предпочтение разработчикам с хорошей репутацией.
- Обратите внимание на разрешения, запрашиваемые расширением. Особенно опасно, если оно запрашивает доступ «читать и изменять все данные на посещаемых вами сайтах».
- Регулярно проверяйте список расширений и удаляйте неиспользуемые или подозрительные.
- Используйте антивирусное программное обеспечение для мониторинга подозрительной сетевой активности.
- Обязательно меняйте пароли, если есть подозрение, что ваши данные могли быть скомпрометированы, и используйте менеджеры паролей для создания уникальных паролей для каждого сервиса.
Что делать, если вы уже установили опасное расширение
Если вы заметили подозрительные расширения или подозреваете, что ваши данные могли быть украдены, немедленно удалите их и измените пароли в важных аккаунтах. Также стоит провести проверку на наличие вредоносного ПО и активировать двухфакторную аутентификацию там, где это возможно.
Обратите внимание: расширения, маскирующиеся под полезные инструменты, — это одна из самых актуальных угроз в мире браузеров. Постоянно контролируйте свои расширения и будьте внимательны к разрешениям, чтобы снизить риск кражи личных данных.