Специалисты GitLab Threat Intelligence обнаружили 16 вредоносных расширений для браузера Chrome, которые заразили как минимум 3,2 миллиона пользователей.
Среди них были инструменты для создания скриншотов, блокировщики рекламы и клавиатуры с эмодзи. Злоумышленники использовали поисковую оптимизацию для продвижения своих разработок.
Исследователи отмечают, что киберпреступники применили сложные методы, чтобы обойти защиту браузеров. С начала кампании в июле 2024 года они получили доступ к легитимным расширениям, а к декабрю начали фишинговые атаки на аккаунты разработчиков.
Это дало им возможность выпускать вредоносные обновления через официальный магазин Chrome Web Store.
Хотя расширения продолжали выполнять свои функции, в них был обнаружен общий вредоносный код, который проверял конфигурацию при установке, передавал данные на удалённый сервер и изменял настройки безопасности браузера.
Злоумышленники поддерживали постоянную связь с командным сервером для обновления конфигурации.