Google удалила расширение для Chromium, маскировавшееся под Perplexity AI
Google удалила вредоносное расширение для браузеров на базе Chromium, которое маскировалось под Perplexity AI. Исследователи Microsoft выяснили, что оно перехватывало поисковый трафик пользователей: запросы сначала уходили на серверы злоумышленников, а уже потом отправлялись в официальные поисковые системы.
Как пишет Le Monde Informatique, расширение использовало API Manifest V3 в Chromium, чтобы перехватывать запросы, введенные в адресную строку браузера. По данным Microsoft Threat Intelligence, такая схема позволяла следить за поисковым трафиком, при этом пользователи продолжали видеть привычные результаты поиска. Из-за этого подозрительная активность могла долго оставаться незамеченной.
В Microsoft считают, что кампания была направлена на сбор данных авторизации и поискового трафика. В дальнейшем эту информацию могли использовать для профилирования, таргетированной рекламы и других злоупотреблений. Эксперты также фиксируют рост числа атак, где злоумышленники прикрываются брендами популярных ИИ-платформ в фишинговых и malware-кампаниях.
Независимый исследователь Vibhum Dubey отметил, что атака была построена не на уязвимости браузера, а на доверии пользователей. По его словам, сотрудники регулярно устанавливают ИИ-инструменты для браузера и другие расширения для продуктивности, поэтому запросы на широкие разрешения со стороны таких дополнений часто воспринимаются как нечто обычное.
Ключевые факты
Расширение перенаправляло поисковые запросы через инфраструктуру, контролируемую злоумышленниками, прежде чем отправить их в официальные поисковые системы
Microsoft Threat Intelligence заявила, что кампания могла использоваться для сбора данных авторизации и поискового трафика
Вредоносное расширение использовало API Manifest V3 в Chromium для перехвата запросов из адресной строки браузера
По словам Vibhum Dubey, атака строилась на доверии пользователей к ИИ-инструментам, а не на эксплуатации уязвимости браузера