Всем привет! Сегодня с нами отдел исследования киберугроз Angara Security и его эксперт Артемий Цецерский. Поговорим о вредоносных расширениях браузера и о том, как их эксплуатируют злоумышленники. 

Почему эта тема интересна?

Браузер – главное окно в цифровой мир. В нём хранится вся наша жизнь. 90% всех пользовательских действий в интернете происходит через браузер. Согласно веб-аналитике компании Similarweb, Google Chrome занимает порядка 65% рынка браузеров.

Статистика популярности браузеров тонко намекает...
Статистика популярности браузеров тонко намекает...

Chrome построен на базе веб-браузера с открытым исходным кодом Chromium. На базе движка Chromium создано 80% рынка браузеров, включая MS Edge, Opera, Yandex Browser, Brave, Vivaldi и т.д. Таким образом, различные Chrome-расширения, написанные для одного браузера, в большинстве случаев подходят ко всем перечисленным браузерам.

Даже Microsoft отправляет пользователя за расширениями в интернет-магазин Chrome
Даже Microsoft отправляет пользователя за расширениями в интернет-магазин Chrome

Сегодня в Chrome Web Store насчитывается порядка 200 тысяч расширений, они стали нормой для работы и активно внедряются, в том числе, в корпоративные среды (парольные менеджеры, различные утилиты, крипто-кошельки и т.д.). Согласно статистике, многие расширения имеют более 10 млн установок. И как следствие популярности, Chrome-расширения получают всё больше прав и доступа. Это привлекает не только «белых» хакеров, но и злоумышленников, которые все чаще начинают использовать возможности браузера и его расширений для продвижения либо попадания в сеть жертвы. Статистика киберинцидентов с использованием Chrome-расширений показывает стабильный рост атак, особенно в 2025 году. Только в мае 2025 года специалисты «Лаборатории Касперского» сообщили об обнаружении 57 подозрительных расширений, имеющих более 6 млн установок. Все найденные плагины маскировались под легальные инструменты, однако на практике относились к одному семейству шпионских или крадущих данные программ. Таким образом, мы можем утверждать, что техники злоумышленников становятся всё более изощрёнными и опасными. Весной этого года в матрицу MITRE ATT&CK была включена тактика T1176.001 (расширения для браузера) в рамка атаки «Расширения ПО» (T1176).

Категория в ATT&CK появилась в процессе ресёрча этой темы
Категория в ATT&CK появилась в процессе ресёрча этой темы

Анатомия Chrome Extensions

С точки зрения устройства и принципа работы Chrome-расширения достаточно интересны атакующим и исследователям безопасности, вот одни из ключевых особенностей:

  • Chrome API – инструмент представляет обширные возможности управления браузером;

  • Кроссплатформенность – расширение устанавливается на любую ОС (Windows, macOS UNIX);

  • JavaScript – простой и мощный язык для написания вредоносного ПО;

  • Незаметность – вредоносный трафик легко скрывается в легитимном процессе chrome.exe и современные средства защиты слабо детектируют присутствие угрозы;

  • Закрепление в системе – расширение живет и после перезагрузки ПК.

Из чего состоит расширение?

Слишком сложный мир расширений Chrome
Слишком сложный мир расширений Chrome

Chrome-расширение можно разделить на то, что выходит за рамки браузера Chrome и внутренней части, которая отвечает за визуальную составляющую, и то, что работает в фоновом режиме.

  • Контент-скрипты (они же Content Scripts) - скрипты, которые могут видоизменять страницу, на которой находится пользователь. Данными скриптами можно заменять текст, подкладывать нужные атакующему гиперссылки, подменять изображения, в общем -- полностью контролировать HTML-код страницы, Javascript-скрипты, CSS и все остальное.

  • Фоновые скрипты (они же Background Scripts) – скрипты, которые являются основой расширения (по сути это Service Workers). Они могут общаться как с ОС посредством API, так и с контент-скриптами, обрабатывая их информацию. Также они могут обращаться в Chrome Data к различным cookies, истории и прочей информации, что хранится в браузере. Их возможности (Permisssions) могут быть ограничены в рамках расширения.

С точки зрения атакующих, контент-скрипты могут быть полезны для воздействия на различную визуальную информацию в браузере и обмана глаз пользователя. Фоновые скрипты же интересны с точки зрения доступа к вкладкам, истории, работе с cookie-файлами, сетевыми запросами с учетом наложенных возможностями ограничений.

Доставка расширений жертве

Каким образом можно доставить вредоносное Chrome-расширение на рабочее место жертвы? По логике, на ум приходит два концептуальных подхода: либо установить новое расширение в браузер жертвы, либо обновить исходный код уже установленного в браузе�� расширения. Исходя из нашего опыта и практики, эти два подхода можно декомпозировать на следующие варианты:

  • Ручная установка в GUI. Установку в Chrome можно сделать самостоятельно или, используя социальную инженерию и не вызвав подозрений, убедить жертву зайти в браузер и выполнить определенные действия: в браузере открыть ссылку chrome://extensions и нажать кнопку "Загрузить распакованное расширение". Этот вариант сработает только в случае успешной социалки, но тем не менее, такой вариант имеет право на жизнь.

Жертве предстоит нелегкая задача
Жертве предстоит нелегкая задача

  • Компрометация разработчика и внедрение кода. В этом случае нужно скомпрометировать разработчика и постепенно добавить в исходный код его расширения вредоносный функционал. А вообще, каков механизм обновления расширений? Раньше можно было обновлять через произвольный URL, что породило множество атак. Однако, сегодня обновлять расширения можно только через Chrome Web Store. Обновления происходят автоматически при заданном значении поля «update_url» в manifest.json и публикации новой версии в официальном магазине приложений. Этот способ породил много киберинцидентов, когда продвинутая группировка тем или иным способом получает доступ к официальному аккаунту разработчика и постепенно подменяет код расширения в обновлении, превращая его в троян.

Спасибо, Google. Он дает нам контакты разработчика для социалки :)
Спасибо, Google. Он дает нам контакты разработчика для социалки :)

  • Публикация в Chrome Web Store собственного расширения. В этом случае атакующие выбирают долгий путь. Они регистрируются как разработчик, оплачивают пять долларов обязательных сборов. Опубликованное ими расширение проходит модерацию и постепенно, с течением времени, обновления этого расширение добавляет в него вредоносный функционал.

  • Установка через GPO. Уже на этапе Post-Compomise атакующие могут установить расширения для всех пользователей в домене с помощью групповых политик.

Примерно так злоумышленник может контролировать все браузеры в домене
Примерно так злоумышленник может контролировать все браузеры в домене

  • Подмена LNK Chrome и размещение расширения на диске. При получении доступа к машине жертвы атакующие могут подменить ярлык на рабочем столе для авто-запуска с уже вредоносным расширением. В этом случае файлы расширения предварительно размещаются в файловой системе и производится подмена ярлыка Google Chrome на ярлык с внедренным параметром --load-extension. Предварительно требуется отключить запрет на установку и запуск приложения в такой конфигурации с помощью параметра "chrome.exe" --disable-features=DisableLoadExtensionCommandLineSwitch--load-extension=“C:\Temp\my-extension";

"Мы внедрили фичу для отключения фичи, которая отключает фичу, которая..." (с)
"Мы внедрили фичу для отключения фичи, которая отключает фичу, которая..." (с)

На момент 25 сентября 2025 года GoogleChrome устранила данную технику атаки. Однако для некоторых других Chromium-браузеров это по сей день актуально.

  • Extension Side-loading. Недавно был создан SharpSilentChrome – проект на C#, который устанавливает расширения и модифицирует определенные файлы браузера (Secure Preferences, Preferences), не использует LNK с --load-extension и не требует участия пользователя.

  • CRX-расширение. К неработающему с некоторых пор методу стоит отнести установку запакованного/сжатого расширения CRX. На текущий момент возникают ошибки CRX_REQUIRED_PROOF_MISSING и CRX_HEADER_INVALID из-за отсутствия цифровой подписи от Web Store. Но этот метод по-прежнему работает при GPO-развёртывании в домене;

Пост-эксплуатация

На данном этапе возможности атакующего достаточно широки (а возможно и безграничны). Чтобы подробнее разобрать все возможности и увидеть живые примеры, мы крайне рекомендуем посмотреть запись выступления на Standoff Talks. Или же, вы можете в комментариях дать нам знать, интересно ли раскрыть эту тему. Мы же, если увидим ваш интерес, подготовим отдельную публикацию по теме пост-эксплуатации

Также вам, возможно, будет интересно самостоятельно разобраться в этой теме. Для этого мы с командой сделали Github-репозиторий, в котором представлено Chrome-расширение с реализованными техниками пост-эксплуатации.

Дисклеймер

Вся информация, представленная в Github-репозитории, должна использоваться строго в учебных и исследовательских целях. Автор репозитория не несёт ответственности за использование опубликованных материалов в неправомерных целях, подпадающих под ст. 272-274 УК РФ.

Атакующие не стоят на месте и разрабатывают все более новые методы атак на браузер через расширения Chrome, поэтому в будущем возможны различные атаки с использованием уже известных и пока неизвестных фреймворков.

Как защищаться и мониторить

Как защищаться от атак через Chrome-расширения?

Компания Google активно борется со злоумышленниками и публикует рекомендации и комментарии в разделе браузерных расширений chrome/browser/extensions/*.c

Если вам позволяет квалификация, проверяйте запрос избыточных привилегий у расширения или наличие у него запутанного или обфусцированного кода. Необходимо также мониторить модификации (Secure Preferences, Preferences) сделанные не chrome.exe, проверять реестр HKCU\HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.my_company.my_application.

Ужесточите настройки для групповых политик HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome, в частности:

  1. групповой установки расширений: ExtensionInstallBlockList=<something>

  2. «белого списка» расширений: ExtensionInstallAllowList=<something>

  3. запрет на установку распакованных расширений

Такую ошибку получит атакующий, если будет включен запрет на установку распакованных расширений
Такую ошибку получит атакующий, если будет включен запрет на установку распакованных расширений

Эти минимальные действия позволяют предотвратить большую часть браузерных атак, поскольку сильно усложняется возможность установки расширения в браузер жертвы.

Также настройте публично доступные SIEM-правила. Например, детект аргумента --load-extension. Это позволит мониторить подозрительные запуски расширений.

Другую возможность для анализа и мониторинга Chrome-расширений дает OSQuery —инструмент с открытым исходным кодом, позволяющий запрашивать текущее состояние системы с помощью SQL-запросов. В данном случае нам потребуются OS Query for Chrome Extensions и OS Query Pack для мониторинга браузеров.

Выводы

Chrome-расширения - достаточно удобный, но в тоже время опасный инструмент. Как показывает практика, с выходом новых инструментов появляются новые возможности и порой возрождаются старые техники атак. Не стоит забывать и об уязвимостях программного обеспечения. Например, эксплуатация уязвимостей Chrome V8 позволяет захватывать ОС из браузера. Также известны техники отката к старой версии Google Chrome и эксплуатация уязвимости «первого дня» (1-day). И всё это возможно реализовать, используя расширения браузера.

Киберпреступники все активнее используют браузерные атаки, и мы должны быть готовы к этому, поскольку браузер - главное орудие труда любого человека в компьютере.