Исследователи выявили масштабную вредоносную кампанию, связанную с расширениями для Chrome, которая затронула более 500 тысяч аккаунтов во «ВКонтакте». Злоумышленники распространяли расширения под видом безобидных инструментов для оформления профиля, но на самом деле они превращали браузеры пользователей в часть управляемой инфраструктуры.
Одним из самых популярных дополнений стало VK Styles Themes for vk.com — с примерно 400 тысячами установок и положительными отзывами. Формально расширение лишь изменяло оформление соцсети, но фактически внедряло вредоносный код на каждую страницу VK и подключалось к скрытой системе управления.
Расследование началось, когда специалисты заметили подозрительные вставки рекламных скриптов «Яндекса» на страницах пользователей. В дальнейшем выяснилось, что расширение использовало динамически вычисляемый идентификатор счётчика, обходя статические проверки. Это позволило обнаружить ещё четыре связанных расширения, суммарно имеющих около 502 тысяч установок. Два из них уже удалены из Chrome Web Store.
Архитектура кампании оказалась многоступенчатой и изобретательной. Расширение не содержало жёстко прописанных адресов серверов управления. Вместо этого оно обращалось к обычному профилю во «ВКонтакте» — vk.com/m0nda — и извлекало закодированные параметры из HTML-метатегов. Далее загружался следующий этап вредоносного кода с GitHub (аккаунт 2vk, репозиторий с названием «-») и подключались рекламные скрипты.
По сути, VK-профиль выполнял роль командного центра (C2), а GitHub служил площадкой для размещения полезной нагрузки. Такая схема усложняла блокировку: трафик к VK и GitHub выглядел легитимным.
Кампания активна как минимум с июня 2025 года и продолжалась до января 2026-го. История коммитов показывает, что автор постепенно расширял функционал: от манипуляций с CSRF-cookie и работы с VK API до автоматической подписки пользователей на определённую группу с вероятностью 75% при каждом входе во «ВКонтакте». В результате заражённые аккаунты автоматически вступали в группу -168874636 (VK Styles), которая сейчас насчитывает более 1,4 млн подписчиков.
Кроме того, расширение каждые 30 дней сбрасывало пользовательские настройки — сортировку ленты, тему сообщений и другие параметры, чтобы сохранять контроль. Код вмешивался в работу защитных механизмов VK, изменяя cookie remixsec_redir, что позволяло выполнять действия от имени пользователя, как будто они инициированы легитимно.
Отдельный модуль отслеживал статус подписки VK Donut и в зависимости от этого активировал или ограничивал определённые функции, добавляя элемент монетизации. Главная особенность кампании — гибкость: логика загружалась динамически через профиль VK и GitHub, что позволяло злоумышленнику менять поведение аддона без обновления пакета в магазине. А поскольку Chrome-расширения обновляются автоматически, новая вредоносная логика быстро распространялась на сотни тысяч устройств.
