Перехватывающие трафик VPN-аддоны для Chrome собрали 9 млн установок

Екатерина Быстрова 19 Ноября 2025 - 09:09

Домашние пользователи

...

Специалисты из LayerX Security обнаружили масштабную кампанию, в рамках которой злоумышленники распространяли «бесплатные VPN» и «блокировщики рекламы» в виде расширений для браузера. На деле эти плагины работали как полноценные шпионские инструменты: перехватывали трафик, перенаправляли пользователя через сторонние серверы, собирали данные о посещённых страницах и даже отключали защитные инструменты.

Кампания тянется уже больше шести лет, а количество установок превысило 9 млн.

Несмотря на неоднократные удаления, те же расширения постоянно возвращаются в Chrome Web Store под новыми именами и с чуть изменённым кодом.

Версии, удалённые в мае 2025 года, спустя два месяца снова появились в магазине — более чистые, скрытные и с расширенным набором шпионских функций. По состоянию на июль новая версия остаётся доступной в Chrome Web Store.

LayerX прямо пишет: то, что выглядело обычным «бесплатным VPN», на практике было полноценным инструментом для наблюдения за активностью пользователя в браузере.

Исследователи выделяют три ключевых аддона:

VPN Professional – Free Secure and Unlimited VPN Proxy;
VPN-free.pro – Free Unlimited VPN;
Free Unlimited VPN (версия 2025 года, всё ещё доступна).

Совокупно они собрали более 9 млн установок, а свежая версия 2025 года уже набрала свыше 31 тысяч активных пользователей. Оформление, описание и логотипы у всех почти одинаковые — всё сделано, чтобы выглядеть надёжно и профессионально.

В старых версиях вредоносных плагинов (2019-2024) обнаружили массу подозрительных функций: они подменяли методы JavaScript, подгружали конфигурации с нескольких серверов, устанавливали PAC-скрипты для полной маршрутизации трафика через серверы злоумышленников, перехватывали каждый запрос, скрывали собственные редиректы, удаляли себя по команде и удерживали сервис-воркеры активными, чтобы обойти ограничения Manifest V3.

Загруженная в июле 2025 года версия стала ещё аккуратнее и сложнее: задерживает активацию, загружает прокси-логику из внешних скриптов, выполняет код удалённо, отключает конкурирующие расширения, хеширует и отправляет посещённые URL и анализирует установленные плагины, чтобы проводить более точечные атаки.

Эксперты подытоживают: эти расширения давали злоумышленникам практически полный доступ к интернет-активности жертвы.

Кроме VPN-плагинов, в кампанию входят ещё шесть якобы «блокировщиков рекламы» и «загрузчиков музыки» — с таким же вредоносным кодом и похожей стилистикой. Всё выглядело достаточно профессионально, поэтому многие пользователи даже не подозревали, что весь их трафик фактически проходил через серверы злоумышленников.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!