Cercetătorii în securitate cibernetică au descoperit o campanie coordonată care implică 108 extensii malițioase pentru Google Chrome, ce partajează o singură infrastructură de comandă și control și au adunat în total aproximativ 20.000 de instalări pe Chrome Web Store, conform unui raport publicat de Echipa de Cercetare a Amenințărilor de la Socket pe 13 aprilie.
Extensiile, publicate sub cinci identități distincte de editori — Yana Project, GameGen, SideGames, Rodeo Games și InterAlt — acoperă categorii de produse precum clienți sidebar pentru Telegram, jocuri de tip slot machine și cazino, instrumente de îmbunătățire pentru YouTube și TikTok, precum și un instrument de traducere a textelor. Fiecare oferă funcționalitatea promisă la suprafață, rulând în același timp cod malițios în fundal.
Cum funcționează campania
Dintre cele 108 extensii, 54 fură identitățile conturilor Google ale utilizatorilor. Când un utilizator apasă un buton de autentificare, extensia obține un token Google OAuth2 și trimite adresa de e-mail, numele, fotografia de profil și identificatorul persistent al contului Google al victimei către servere aflate pe domeniul controlat de atacator, cloudapi.stream. Aceste date le oferă operatorilor un profil de identitate permanent pentru fiecare victimă.
Cea mai periculoasă extensie din grup, numită „Telegram Multi-account”, exfiltrează sesiunea activă Telegram Web din browserul victimei la fiecare 15 secunde. Socket a avertizat că aceste date „permit actorului malițios să acceseze toate mesajele și contactele fără a fi necesară o parolă sau autentificarea cu mai mulți factori”. Extensia poate, de asemenea, să înlocuiască sesiunea victimei cu una aleasă de atacator, permițând preluarea completă a contului. Ultima actualizare a avut loc în februarie 2025, ceea ce înseamnă că funcționalitatea malițioasă era prezentă de mai bine de un an.
Alte 45 de extensii conțin o ușă secretă universală care deschide silențios un URL specificat de atacator de fiecare dată când browserul pornește, indiferent dacă utilizatorul interacționează sau nu cu extensia. Alte extensii elimină antetele de securitate de pe paginile YouTube și TikTok pentru a injecta reclame și suprapuneri cu conținut de jocuri de noroc.
Legături cu un singur operator
Toate cele 108 extensii direcționează traficul către același server backend găzduit pe un VPS Contabo, cu domeniul cloudapi.stream înregistrat în 2022 printr-un furnizor de hosting ucrainean. Cercetătorii de la Socket au identificat că 56 de ID-uri unice de client OAuth2 din cadrul campaniei conduc la doar două numere de proiect Google Cloud, furnizând dovezi solide ale unui proprietar unic, în ciuda celor cinci nume de editori diferite.
Comentariile din cod scrise în rusă apar în mai multe extensii, iar câteva adrese de e-mail de înregistrare conțin variante de romanizare ale aceluiași nume. Un portal de plată accesibil din 78 dintre extensii sugerează că operațiunea funcționează ca o platformă de tip malware-as-a-service, unde identitățile și sesiunile furate sunt disponibile cumpărătorilor.
Ce ar trebui să facă utilizatorii
În ciuda solicitărilor de eliminare transmise de Socket echipei de securitate a Chrome Web Store și Google Safe Browsing, majoritatea extensiilor erau încă active la momentul publicării raportului. Utilizatorii care au instalat oricare dintre aceste extensii ar trebui să le dezinstaleze imediat și, dacă au folosit extensia Telegram în timp ce erau conectați la Telegram Web, să încheie toate celelalte sesiuni prin aplicația mobilă Telegram. Cei care s-au conectat la o extensie folosind un cont Google ar trebui să verifice accesul aplicațiilor terțe și să revoce intrările necunoscute.
Surse: https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2
https://cybernews.com/security/chrome-extensions-flagged-for-stealing-user-data/
https://socket.dev/blog/malicious-chrome-extension-steals-mexc-api-keys