Два расширения Chrome крадут переписку пользователей с ИИ
2 мин
184
3
Исследователи по кибербезопасности нашли в Chrome Web Store два вредоносных расширения для Chrome с загрузками у 900 тысяч пользователей. После установки поддельные расширения запрашивали разрешение на сбор анонимизированных данных о поведении в браузере якобы для улучшения функциональности боковой панели. Если пользователь соглашался, встроенный вредонос начинал собирать информацию об открытых вкладках и данные диалогов с чат-ботами на основе искусственного интеллекта.
Вредоносные дополнения маскируются под легитимные расширения Chat with all AI models (Gemini, Claude, DeepSeek) & AI Agents от AITOPIA: ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (ID: fnmihdojmnkclgjpcoonokmkhjpjechg, 600 тысяч пользователей) и AI Sidebar with Deepseek, ChatGPT, Claude, and more. (ID: inhcgfpbfdjbjogdfjbclgolkmhnooop, 300 тысяч пользователей).
Опасные находки сделали через несколько недель после расширения Urban VPN Proxy. Исследователи кибербеза рассказали, как вредоносные расширения похищали информацию, в частности диалоги пользователей и все URL вкладок Chrome, и передавали на удалённый C2-сервер каждые 30 минут.
Также ВПО добавляло вредоносные функции, запрашивая согласие на сбор «анонимных, неидентифицируемых аналитических данных» для кражи полного содержимого переписок из сессии с чат-ботами на основе искусственного интеллекта.
Для сбора чатов расширение искало определённые DOM-элементы на веб-странице, извлекало сообщения и сохраняло их локально. Затем обнаруженное отправлялось на удалённые серверы: chatsaigpt[.]com или deepaichats[.]com.
Злоумышленники использовали Lovable — платформу для веб-разработки на базе ИИ. На созданных сайтах размещали политики конфиденциальности и другие компоненты инфраструктуры (chataigpt[.]pro или chatgptsidebar[.]pro). Так хакеры пытались скрыть свои действия.
