В Chrome Web Store обнаружены 111 вредоносных расширений, скачанных 32 млн раз

Исследователи из Awake Security обнаружили масштабную шпионскую кампанию в официальном магазине расширений Google Chrome. Они выявили 111 вредоносных расширений, которые были скачаны в общей сложности более 32 миллионов раз. Это крупнейший подобный инцидент в истории Google, показывающий, что официальный магазин стал «автострадой» для киберпреступников.

Механизм атаки был крайне изощрённым. Расширения маскировались под безобидные инструменты, такие как переводчики, конвертеры файлов или системы предупреждения об угрозах. На деле они выполняли функции троянов, крадя пароли, сессионные куки, аутентификационные токены и даже делая скриншоты без ведома жертвы.

Ключевым звеном инфраструктуры стала израильская компания Galcomm, поскольку хакеры использовали более 15 тысяч связанных с ней доменов для построения системы управления и контроля (C2). Злоумышленники умело обходили обнаружение: скрипты активировались только в домашних частных сетях, избегая анализа в корпоративных средах, защищённых продвинутыми файрволами.

Google уже удалил все заражённые дополнения после отчёта экспертов, однако данные миллионов пользователей уже успели попасть на чёрный рынок. Эта операция доказала, что злоумышленники способны эффективно скрывать вредоносный код от автоматизированных систем безопасности гиганта из Маунтин-Вью, превращая ежедневный сёрфинг в борьбу за сохранность паролей и личных данных.