Фейковые VPN-аддоны для Chrome оказались инструментом тотального шпионажа

Екатерина Быстрова 23 Декабря 2025 - 18:14

Домашние пользователи

...

Исследователи по кибербезопасности обнаружили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, а на деле перехватывают интернет-трафик и крадут пользовательские данные.

О находке рассказали специалисты компании Socket. Оба расширения имеют одинаковое название и опубликованы одним разработчиком, но отличаются ID и датой выхода.

Первое появилось ещё в 2017 году и насчитывает около 2 тысяч установок, второе — в 2023 году и используется примерно 180 пользователями. Оба до сих пор доступны в магазине Chrome.

Phantom Shuttle рекламируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагают оформить подписку стоимостью от 9,9 до 95,9 юаня (примерно 110-1064 рублей), якобы для доступа к VPN-функциям.

На практике же, как объясняет исследователь Socket Куш Пандья, за платной подпиской скрывается полноценный инструмент слежки:

«Расширения перехватывают весь трафик, работают как прокси с функцией “Человек посередине“ (MitM) и постоянно отправляют данные пользователей на управляющий сервер злоумышленников».

После оплаты пользователю автоматически включается режим VIP и так называемый smarty-proxy. В этом режиме трафик с более чем 170 популярных доменов перенаправляется через серверы атакующих.

В списке целевых ресурсов — GitHub, Stack Overflow, Docker, AWS, Azure, DigitalOcean, Cisco, IBM, VMware, а также Facebook, Instagram (обе соцсети принадлежат Meta, признанной экстремистской и запрещенной в России), X (Twitter) и даже сайты для взрослых. Последние, по мнению исследователей, могли быть добавлены с расчётом на возможный шантаж жертв.

При этом расширение действительно выполняет заявленные функции — показывает задержки, статус соединения и создаёт иллюзию легального сервиса.

Внутри расширения исследователи нашли модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко прописанные логин и пароль прокси при любом запросе HTTP-аутентификации. Всё происходит незаметно для пользователя — браузер даже не показывает окно ввода данных.

Далее аддон:

настраивает прокси через PAC-скрипт;
получает позицию MitM;
перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера карт;
каждые пять минут отправляет на сервер злоумышленников адрес электронной почты и пароль пользователя в открытом виде.

В Socket считают, что схема выстроена профессионально: подписочная модель удерживает жертв и приносит доход, а внешний вид сервиса создаёт ощущение легитимности.

Эксперты рекомендуют немедленно удалить Phantom Shuttle, если оно установлено. Для компаний и ИБ-команд вывод ещё шире: браузерные расширения становятся отдельным и часто неконтролируемым источником риска.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 17:43

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Школьников заманивают в ловушку от имени школы ради аккаунтов в MAX

Аналитики сервиса Smart Business Alert (SBA) компании ЕСА ПРО, входящей в ГК «Кросс технолоджис», предупредили о волне атак на школьников, в которых злоумышленники действуют от имени руководства учебных заведений. Конечная цель таких схем — кража аккаунтов в российском мессенджере MAX.

Как отмечают в SBA, выбор этой аудитории не случаен. Он связан с началом периода подготовки к экзаменам, когда школьники и их родители становятся особенно восприимчивыми к манипуляциям на темы, связанные со школой.

Наиболее распространённый сценарий — фишинговая схема. Ученикам предлагают проголосовать за свою школу в некоем конкурсе. Для этого нужно перейти по ссылке и подтвердить участие. Затем жертву просят ввести номер телефона, к которому привязан аккаунт в MAX, а также код из СМС.

Поскольку аккаунт в MAX тесно связан с учётной записью на Госуслугах, перехват этих данных может открыть злоумышленникам доступ и к личному кабинету пользователя. Атака может развиваться и по более сложному сценарию: в неё подключаются лжесотрудники правоохранительных органов, которые начинают запугивать жертву уголовной ответственностью за использование «мошеннического ресурса».

«Мошенники всегда выбирают наиболее удобный момент для атаки, и чем ближе экзамены, тем более массовыми могут стать такие схемы. В этот период школьник погружён в подготовку, находится в состоянии стресса и с большей вероятностью выполнит просьбу, которая выглядит как поручение от руководства школы. Особенно трудно отказаться, если обращение подаётся как действие в интересах школы накануне важного экзамена. Дополнительным фактором риска становится то, что от школьников и их родителей всё чаще требуют перейти в мессенджер MAX для учебной коммуникации. Это упрощает задачу мошенникам: потенциальных жертв легче искать в одном цифровом пространстве и атаковать по единому сценарию», — отмечает руководитель сервиса SBA Сергей Трухачёв.

Высокую активность злоумышленников в MAX фиксируют и правоохранительные органы. Российский мессенджер всё чаще используют для фишинговых атак и распространения вредоносных приложений на фоне замедления других платформ и перетока пользователей. При этом, как отметил высокопоставленный представитель профильного главка МВД, на успешность атак сам факт перехода аудитории в новый мессенджер напрямую не влияет.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!