Мошенники взломали более 35 расширений Chrome для кражи данных Facebook

В 2024 году была выявлена крупная фишинговая кампания, направленная на разработчиков расширений Chrome. Злоумышленники скомпрометировали более 35 расширений, установленных у 2,6 миллиона пользователей, включая продукт компании Cyberhaven. Основная цель атаки — кража данных Facebook*, таких как учетные записи, рекламные аккаунты и токены доступа.

Атака начиналась с фишингового письма, якобы от имени Google, в котором сообщалось о нарушении политики Chrome Web Store. Разработчиков направляли на поддельную страницу OAuth авторизации, где требовали доступ к управлению расширениями. После предоставления доступа мошенники встраивали вредоносные файлы в код расширений, добавляя инструменты для кражи данных Facebook*.

Анализ показал, что вредоносный код собирал информацию об учетных записях, куки, а также отслеживал действия пользователей, такие как клики на CAPTCHA или QR-коды, чтобы обойти двухфакторную аутентификацию. Полученные данные использовались для прямых платежей с рекламных аккаунтов, фишинговых кампаний или перепродажи доступа.

Специалисты обнаружили, что фишинговая активность началась еще в марте 2024 года. Большая часть доменов, использованных в атаках, была зарегистрирована в ноябре и декабре. Эксперты предупреждают разработчиков об опасности подобных атак и рекомендуют внимательно проверять запросы на доступ к своим аккаунтам.

* — Компания Meta (социальные сети Instagram и Facebook) — признана экстремистской организацией на территории Российской Федерации