Скачали модный ChatGPT-клон из Chrome Store? Поздравляем — все ваши логины и пароли уже на серверах мошенников
NewsMaker260 тысяч человек попались на удочку поддельных ИИ-помощников.
Исследователи обнаружили скоординированную кампанию с вредоносными расширениями для Google Chrome , которые выдают себя за ИИ-помощников для пересказа текстов, переписки, написания сообщений и работы с Gmail. На первый взгляд это обычные сервисы с функциями искусственного интеллекта. Но устроены они иначе. Основные функции работают не внутри расширения, а на удаленных серверах, а само дополнение выступает как проводник с широкими правами доступа к возможностям браузера.
Специалисты проанализировали 30 расширений Chrome с разными названиями и идентификаторами. В общей сложности их установили более 260 000 пользователей. Внешне это разные продукты, но внутри у них одна и та же кодовая база, одинаковый набор разрешений и общая серверная инфраструктура. То, как такое расширение ведет себя в работе, зависит не столько от проверки в Chrome Web Store, сколько от того, какой интерфейс и сценарии в конкретный момент подгружает внешний сервер.
Все найденные дополнения оформлены как отдельные инструменты, хотя фактически относятся к одной кампании. Часть из них даже получила отметку Featured в Chrome Web Store, что обычно повышает доверие и видимость в каталоге. Операторы используют схему массовой публикации. Один и тот же продукт выпускают под разными именами. Если одно расширение удаляют, в магазине остаются другие или быстро появляются копии с новым идентификатором. В описаниях фигурируют разные ИИ-бренды, включая Claude, ChatGPT, Gemini и Grok, а также разнообразные помощники для Gmail, но все они подключаются к одной серверной системе.
Механизм работы хорошо виден на примере расширения AI Assistant с идентификатором nlhpidbjmmffhoogcennoiopekbiglbp. Его интерфейс загружается не из локального кода, а через встроенный полноэкранный iframe с домена claude.tapnetic.pro. Этот iframe перекрывает открытую страницу и выглядит как собственное окно расширения. Поскольку содержимое приходит снаружи, оператор может в любой момент поменять внешний вид и логику без обновления в магазине. Новые возможности добавляются незаметно для пользователя.
Исследователи обнаружили скоординированную кампанию с вредоносными расширениями для Google Chrome , которые выдают себя за ИИ-помощников для пересказа текстов, переписки, написания сообщений и работы с Gmail. На первый взгляд это обычные сервисы с функциями искусственного интеллекта. Но устроены они иначе. Основные функции работают не внутри расширения, а на удаленных серверах, а само дополнение выступает как проводник с широкими правами доступа к возможностям браузера.
Специалисты проанализировали 30 расширений Chrome с разными названиями и идентификаторами. В общей сложности их установили более 260 000 пользователей. Внешне это разные продукты, но внутри у них одна и та же кодовая база, одинаковый набор разрешений и общая серверная инфраструктура. То, как такое расширение ведет себя в работе, зависит не столько от проверки в Chrome Web Store, сколько от того, какой интерфейс и сценарии в конкретный момент подгружает внешний сервер.
Все найденные дополнения оформлены как отдельные инструменты, хотя фактически относятся к одной кампании. Часть из них даже получила отметку Featured в Chrome Web Store, что обычно повышает доверие и видимость в каталоге. Операторы используют схему массовой публикации. Один и тот же продукт выпускают под разными именами. Если одно расширение удаляют, в магазине остаются другие или быстро появляются копии с новым идентификатором. В описаниях фигурируют разные ИИ-бренды, включая Claude, ChatGPT, Gemini и Grok, а также разнообразные помощники для Gmail, но все они подключаются к одной серверной системе.
Механизм работы хорошо виден на примере расширения AI Assistant с идентификатором nlhpidbjmmffhoogcennoiopekbiglbp. Его интерфейс загружается не из локального кода, а через встроенный полноэкранный iframe с домена claude.tapnetic.pro. Этот iframe перекрывает открытую страницу и выглядит как собственное окно расширения. Поскольку содержимое приходит снаружи, оператор может в любой момент поменять внешний вид и логику без обновления в магазине. Новые возможности добавляются незаметно для пользователя.