Исследователи в области кибербезопасности обнаружили масштабную вредоносную кампанию, в рамках которой злоумышленники на протяжении нескольких месяцев использовали браузерные расширения для Google Chrome, маскируя их под безобидные инструменты для персонализации страниц. Жертвами стали более 500 тысяч пользователей социальной сети «ВКонтакте», сообщает ряд СМИ.
Вредоносное расширение под видом «стилей»
Одним из самых популярных дополнений оказалось VK Styles Themes for vk.com — расширение с примерно 400 тысячами установок, которое получило множество положительных отзывов. Формально оно предназначалось для изменения визуального оформления страницы: темы, цвета интерфейса и шрифты. Однако на самом деле расширение внедряло сторонний код и подключалось к скрытой системе управления, контролируемой злоумышленниками.
Цели атакующих включали:
- автоматическую накрутку активности пользователей,
- принудительный показ рекламы,
- скрытое участие в продвижении групп и страниц, включая те, что набрали миллионы подписчиков,
- вмешательство в настройки ленты и сообщений, чтобы сохранять контроль над аккаунтом.
Сложная и незаметная схема работы
Расследование началось после того, как эксперты зафиксировали подозрительные рекламные скрипты на страницах пользователей. Вредоносная архитектура была тщательно продуманной и почти незаметной для систем безопасности:
- расширение не содержало прямых ссылок на серверы управления, что затрудняло обнаружение,
- вместо этого оно считывало зашифрованные команды из обычного профиля социальной сети,
- весь трафик выглядел легитимным, так как отправлялся на доверенные ресурсы, что усложняло блокировку.
После заражения аккаунты действовали без ведома владельцев: подписывались на сообщества, участвовали в опросах и автоматически демонстрировали рекламу. Одно из сообществ, продвигаемое через расширение, набрало более 1,4 миллиона подписчиков.
Масштаб кампании и динамическая модификация
Кампания активна с июня 2025 года по январь 2026-го. Разработчик расширения регулярно добавлял новые функции для манипуляций, используя динамическую загрузку логики: это позволяло менять поведение программы без обновления в магазине Chrome. Благодаря встроенной системе автоматического обновления расширений новые вредоносные функции быстро распространялись на сотни тысяч устройств.
Реакция «ВКонтакте» и рекомендации безопасности
В пресс-службе социальной сети подчеркнули, что данные пользователей остаются защищёнными. «Сторонние расширения не имеют доступа к персональной информации или управлению аккаунтом без согласия пользователя», — заявили представители компании.
Эксперты по кибербезопасности рекомендуют:
- устанавливать расширения только из официальных магазинов и проверять отзывы,
- внимательно отслеживать разрешения расширений, особенно доступ к личным данным и аккаунтам,
- регулярно очищать кэш браузера и куки, а также использовать антивирусные решения для выявления скрытых угроз,
- при подозрительных действиях на аккаунте немедленно менять пароли и проверять авторизованные устройства.
Аналитики предупреждают: подобные схемы становятся всё более изощрёнными и могут использоваться не только для рекламы, но и для кражи аккаунтов, распространения спама и мошенничества с личными данными.
