Компания Google удалила вредоносное расширение для браузера, маскировавшееся под Perplexity AI, после того как исследователи Microsoft обнаружили, что оно перехватывало поисковый трафик пользователей и направляло запросы через серверы, контролируемые злоумышленниками, прежде чем перенаправить их законным поисковым системам.
Служба Microsoft Threat Intelligence сообщила, что расширение выдавало себя за поисковый движок с функциями ИИ, чтобы обманом заставить пользователей установить его. Основываясь на своем анализе, компания заявила, что основной целью расширения был перехват поискового трафика и сбор данных о просмотре веб-страниц при сохранении обычного опыта просмотра, что затрудняло обнаружение этой активности пользователями.
«Microsoft Threat Intelligence выявила вредоносное расширение на базе Chromium, которое выдает себя за поисковый движок с функциями ИИ Perplexity AI, чтобы обманом заставить ничего не подозревающих пользователей установить его», — заявила команда аналитиков угроз компании в записи в блоге. «Основываясь на нашем наблюдении за поведением расширения, мы считаем, что его основная цель — перехват поискового трафика и сбор данных, что может повлечь за собой дальнейшие сценарии использования, такие как профилирование, таргетированная реклама или другие формы неправомерного использования в зависимости от намерений оператора».
Microsoft сообщила, что уведомила Google об этом расширении, после чего оно было удалено.
Этот инцидент отражает более широкую тенденцию, выявленную исследователями Microsoft, которые ранее в этом месяце предупреждали о том, что злоумышленники все чаще используют названия и бренды популярных платформ ИИ в фишинговых кампаниях и кампаниях по распространению вредоносного ПО.
Расширение незаметно перехватывало поисковые запросы в браузере
В отличие от традиционных угонщиков браузеров, которые изменяют результаты поиска или наводняют пользователей рекламой, это расширение действовало менее заметно.
По данным Microsoft, оно злоупотребляло API Manifest V3 Chromium для перехвата поисковых запросов, вводимых через адресную строку браузера, перенаправляя эти запросы через промежуточную инфраструктуру, контролируемую злоумышленником, прежде чем перенаправить пользователей к законным поисковым системам. Поскольку жертвы в конечном итоге получали ожидаемые результаты поиска, эта активность могла оставаться в значительной степени незамеченной, добавляется в сообщении блога.
«Использование промежуточной инфраструктуры позволяет оператору наблюдать за поисковым трафиком, сохраняя при этом ожидаемый опыт просмотра», — говорится в сообщении Microsoft Threat Intelligence.
Атака также опиралась на доверие пользователей, а не на использование уязвимости браузера.
«Интересно то, что атака на самом деле не зависит от использования уязвимости браузера. Пользователь становится начальным вектором доступа», — сказал Вибхум Дубей, независимый исследователь кибербезопасности и специалист по красным командам (red teamer).
Сотрудники регулярно устанавливают основанные на браузере инструменты для повышения производительности, менеджеры паролей и ИИ-помощники, что заставляет расширения с брендингом ИИ выглядеть легитимными, сказал Дубей. «Пользователи также ожидают, что инструменты ИИ будут запрашивать широкие разрешения на доступ к веб-сайтам и содержимому браузера, что позволяет вредоносным запросам разрешений сливаться с законной функциональностью».
Почему бренды ИИ служат хорошей приманкой
Для злоумышленников доверенные бренды ИИ становятся все более привлекательными приманками для социальной инженерии по мере ускорения внедрения генеративных ИИ-инструментов в предприятиях.
«Злоумышленники следуют за доверием пользователей», — сказал Сушован Мукхопадхьяй, директор-аналитик Gartner. «Поскольку сотрудники быстро внедряют ИИ-инструменты, доверенные бренды ИИ становятся ценной приманкой для социальной инженерии».
Расширения браузера могут незаметно превратиться в «уровень сбора данных внутри повседневного рабочего процесса сотрудника», раскрывая конфиденциальные поисковые запросы, активность просмотра и деловой контекст, сказал он.
Мукхопадхьяй отметил, что более широкая проблема заключается в том, что внедрение корпоративного ИИ происходит быстрее, чем управление безопасностью, что создает возможности для злоумышленников использовать разрыв между энтузиазмом сотрудников и организационным контролем.
Слепое пятно управления
Оба эксперта заявили, что более сложной корпоративной проблемой является видимость.
«Большинство организаций имеют отлаженный процесс инвентаризации программного обеспечения, но очень немногие имеют такой же уровень видимости для расширений браузера», — сказал Дубей. Во время оценок безопасности он видел, как организации поддерживали строгие списки разрешенных приложений, в то время как сотрудники продолжали устанавливать расширения браузера практически без какого-либо надзора.
Вместо того чтобы искать только известные вредоносные расширения, группы безопасности должны отслеживать рискованное поведение, такое как изменения в поставщиках поиска по умолчанию, запросы на доступ ко всем веб-сайтам, связь с доменами, не связанными с заявленным издателем, и расширения, запрашивающие дополнительные разрешения после установки, сказал он.
Microsoft аналогичным образом рекомендовала организациям проверять издателей расширений, тщательно просматривать запрашиваемые разрешения и отслеживать корпоративные браузеры на предмет несанкционированных или не одобренных расширений.
Мукхопадхьяй считает, что руководителям по информационной безопасности (CISO) следует начать рассматривать расширения браузера как управляемое корпоративное программное обеспечение, а не как личные инструменты для повышения производительности.
«Это означает использование списков разрешенных, обзоров разрешений, мониторинга настроек поиска и контроля для неодобренных ИИ-инструментов», — сказал он. Ссылаясь на данные Gartner, он отметил, что к 2029 году 30% предприятий будут использовать безопасные корпоративные браузерные технологии для улучшения аудита расширений браузера, профилирования рисков и обеспечения соблюдения политик.
Поскольку браузеры становятся основным рабочим пространством для электронной почты, SaaS-приложений и ИИ-помощников, злоумышленники, вероятно, продолжат нацеливаться на них, сказал Дубей. Поэтому организациям следует рассматривать расширения браузера «как сторонних поставщиков программного обеспечения», которые проверяются, одобряются и постоянно контролируются, как и любое другое корпоративное приложение.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
