- Регистрация
- 27.11.2022
- Сообщения
- 349
- Реакции
- 109
- Депозит
- 𝟐𝟎𝟎𝟎 𝐔𝐒𝐃𝐓
- Сделок через Гаранта
- 77
Сервис долго притворялся помощником и ждал удобного момента для атаки.
Браузерные расширения просят всё больше прав, но в случае с бесплатным VPN пользователи получили не защиту приватности, а скрытый канал для кражи скопированных данных. Специалисты Socket обнаружили два расширения под брендом VPN Go, которые распространялись через Chrome Web Store и каталог дополнений Firefox и выдавали себя за бесплатные VPN-сервисы.
На момент анализа расширение для Chrome насчитывало 146 пользователей, версия для Firefox — 3499 пользователей. Оба продукта показывали обычные функции прокси и позволяли выбирать VPN-локации, поэтому широкие сетевые разрешения выглядели правдоподобно. Вредоносная часть работала параллельно и следила за буфером обмена.
Схема развивалась через обновления. Первая изученная версия для Chrome, опубликованная 22 декабря 2025 года, вела себя как обычное прокси-расширение. 31 мая 2026 года в версии 1.1 появился код для чтения буфера обмена. В Firefox вредоносная логика впервые нашлась в версии 1.3.3. Более поздние версии сохранили кражу данных, но сменили инфраструктуру.
Механизм был простым и опасным. Расширение регулярно читало скопированный текст, пропускало повторы, делило новые данные на фрагменты примерно по 1000 символов и отправляло их на жёстко заданные HTTP-адреса. В Chrome проверка запускалась каждые полсекунды через скрипт на всех сайтах, в Firefox похожая логика работала из фонового скрипта раз в полторы секунды.
Такой подход не требует взлома системы напрямую. Пользователь сам копирует пароли, коды многофакторной аутентификации, API-ключи, токены, seed-фразы или адреса криптокошельков, а расширение получает доступ к этим данным через разрешение на чтение буфера обмена. Для настоящего VPN такое право не нужно, как и постоянная отправка фрагментов текста на IP-адреса по HTTP.
Socket передала информацию о расширениях Google и Mozilla для проверки и удаления. Пользователям советуют удалить VPN Go: Free VPN из Chrome и Free VPN by VPN GO из Firefox, если расширения были установлены. Все секреты, которые копировались при активном расширении, лучше считать раскрытыми и заменить.
Организациям стоит проверить установленные расширения, отдельно просмотреть права clipboardRead, proxy, tabs, webRequest и доступ ко всем сайтам, а также искать исходящие HTTP-запросы к выявленным адресам с параметрами uid, part, total и data.
Браузерные расширения просят всё больше прав, но в случае с бесплатным VPN пользователи получили не защиту приватности, а скрытый канал для кражи скопированных данных. Специалисты Socket обнаружили два расширения под брендом VPN Go, которые распространялись через Chrome Web Store и каталог дополнений Firefox и выдавали себя за бесплатные VPN-сервисы.
На момент анализа расширение для Chrome насчитывало 146 пользователей, версия для Firefox — 3499 пользователей. Оба продукта показывали обычные функции прокси и позволяли выбирать VPN-локации, поэтому широкие сетевые разрешения выглядели правдоподобно. Вредоносная часть работала параллельно и следила за буфером обмена.
Схема развивалась через обновления. Первая изученная версия для Chrome, опубликованная 22 декабря 2025 года, вела себя как обычное прокси-расширение. 31 мая 2026 года в версии 1.1 появился код для чтения буфера обмена. В Firefox вредоносная логика впервые нашлась в версии 1.3.3. Более поздние версии сохранили кражу данных, но сменили инфраструктуру.
Механизм был простым и опасным. Расширение регулярно читало скопированный текст, пропускало повторы, делило новые данные на фрагменты примерно по 1000 символов и отправляло их на жёстко заданные HTTP-адреса. В Chrome проверка запускалась каждые полсекунды через скрипт на всех сайтах, в Firefox похожая логика работала из фонового скрипта раз в полторы секунды.
Такой подход не требует взлома системы напрямую. Пользователь сам копирует пароли, коды многофакторной аутентификации, API-ключи, токены, seed-фразы или адреса криптокошельков, а расширение получает доступ к этим данным через разрешение на чтение буфера обмена. Для настоящего VPN такое право не нужно, как и постоянная отправка фрагментов текста на IP-адреса по HTTP.
Socket передала информацию о расширениях Google и Mozilla для проверки и удаления. Пользователям советуют удалить VPN Go: Free VPN из Chrome и Free VPN by VPN GO из Firefox, если расширения были установлены. Все секреты, которые копировались при активном расширении, лучше считать раскрытыми и заменить.
Организациям стоит проверить установленные расширения, отдельно просмотреть права clipboardRead, proxy, tabs, webRequest и доступ ко всем сайтам, а также искать исходящие HTTP-запросы к выявленным адресам с параметрами uid, part, total и data.