Недавно исследователи обнаружили крупную вредоносную кампанию, связанную с расширениями браузера Google Chrome, которая затронула более 500 тыс. аккаунтов социальной сети «ВКонтакте». Основной целью злоумышленников было распространение расширений, маскирующихся под инструменты для изменения внешнего вида профилей ВК, однако на деле они внедрили вредоносный код, позволяющий управлять браузерами пользователей и использовать их для своей выгоды.
Популярное расширение и скрытая угроза
Самым популярным среди выявленных расширений стало VK Styles Themes for vk.com, которое набрало около 400 тыс. положительных отзывов и инсталляций. Внешне расширение предлагало пользователям персонализированное оформление страницы во «ВКонтакте», но внутри скрывала сложную инфраструктуру вредоносного ПО.
Расследования показали, что такое расширение устанавливало скрипт на каждой странице VK, который взаимодействовал с рекламными сервисами Яндекса. Скрипт использовал динамический идентификатор счётчика, что помогало избегать статического анализа антивирусных решений.
При дальнейшем изучении были обнаружены ещё четыре аналогичных расширения, общая аудитория которых превысила 502 тыс. пользователей. Два из них уже были удалены из магазина Chrome Web Store.
Архитектура атаки
Основные этапы реализации угрозы:
- Командный центр («Command & Control», C2):
- Основным центром управления оказался обычный аккаунт во «ВКонтакте»:
vk.com/m0nda. - Через метаданные профиля атакующие получали зашифрованные инструкции и адреса загрузки следующей стадии вредоносного кода.
- GitHub как площадка хранения полезного груза:
- Следующая стадия вредоносного кода хранилась на платформе GitHub, на специальном репозитории (
github.com/2vk/-). - Этот механизм позволял оперативно изменять функциональность расширения без публикации новых версий в официальном магазине Chrome.
- Многоуровневая архитектура заражения:
- Пользователь скачивал расширение под видом улучшения интерфейса VK.
- После установки браузер начинал обращаться к специальному профилю VK и получал дополнительные команды.
- Затем происходил переход на загрузку вредоносного JavaScript-кода с GitHub.
- Наконец, внедрение рекламы и изменение поведения аккаунта пользователя осуществлялось непосредственно через этот сценарий.
Функциональность расширения
Расширение включало ряд функций, направленных на получение контроля над пользователями:
- Автоматическое внесение изменений в интерфейс и управление настройками пользователя.
- Управление куки-файлами VK, включая манипулирование защищёнными параметрами, такими как
remixsec_redir, позволяя обойти механизмы защиты сайта. - Периодический сброс настроек профиля (раз в 30 дней), чтобы поддерживать контроль над поведением пользователя.
- Подключение аккаунтов к специальной группе в VK (-168874636, теперь известная как группа VK Styles), количество участников которой достигло более 1,4 млн. Пользователям принудительно подписывались на неё с вероятностью 75%.
- Монетизация через систему платных подписок («VK Donut»), в зависимости от статуса оплаты менялись возможности пользователя.
Последствия и выводы
Данная атака демонстрирует высокий уровень технической подготовки и креативности злоумышленников. Они использовали легальные сервисы вроде GitHub и VK для распространения своего вредоносного программного обеспечения, что значительно затрудняет обнаружение и блокирование таких угроз.
Эта кампания стала возможной благодаря следующим факторам:
- Недостаточная проверка приложений и расширений в магазинах браузеров.
- Возможность автоматического обновления расширений, позволяющая незаметно вносить новые версии вредоносного кода.
- Использование легальных платформ (например, GitHub) для хранения и доставки полезных нагрузок.
Важно отметить, что подобные атаки требуют комплексного подхода к защите, включающего меры как на стороне разработчиков сервисов, так и самих пользователей:
- Регулярные обновления системы безопасности социальных сетей и браузеров.
- Повышение осведомлённости пользователей о рисках сторонних расширений.
- Постоянный мониторинг активности на своём аккаунте и внимательное отношение к установке незнакомых расширений.
Таким образом, данная ситуация подчёркивает необходимость постоянного внимания к вопросам кибербезопасности и своевременного реагирования на возникающие угрозы.
