Расширение Fake Perplexity в интернет-магазине Chrome отслеживает поисковые запросы
Вредоносное расширение в интернет-магазине Chrome маскируется под систему ответов Perplexity AI, перехватывая поисковый трафик и собирая информацию о действиях пользователей в браузере.
Расширение под названием «Search for perplexity ai» перенаправляло поисковые запросы и предложения в режиме реального времени через свою инфраструктуру, прежде чем перенаправить пользователей на официальные поисковые сервисы.
Исследователи из Microsoft Threat Intelligence заявили, что расширение не крадёт учётные данные или другую конфиденциальную информацию, но его разрешения легко позволили бы это сделать, если бы оператор решил расширить масштабы кражи данных.
Поддельное расширение Perplexity AI
Perplexity AI — это помощник в исследованиях, который выполняет поиск в интернете и синтезирует информацию в виде прямого диалогового ответа, а не показывает пользователю список ссылок, по которым можно найти ответ.
Perplexity AI доступен в веб-версии, на мобильных устройствах (Android и iOS), а также в виде настольного приложения. Официальное расширение для Chrome называется «Perplexity – AI Search».
Поддельное расширение, обнаруженное Microsoft, использует похожий брендинг и домен perplexity-ai[.]online вместо настоящего perplexity.ai.
Страница адаптации после установки
Источник: Microsoft
После установки он изменяет настройки поиска в браузере, заменяя поисковую систему по умолчанию и перенаправляя все запросы из адресной строки через инфраструктуру злоумышленника.
«Расширение переопределяет настройки поиска в браузере через chrome_settings_overrides, чтобы заменить поисковую систему по умолчанию в браузере, а также перехватывать и перенаправлять все запросы в омнибоксе браузера Chromium в промежуточную инфраструктуру, не связанную с официальным доменом поставщика», — объясняет Microsoft.
Такой уровень сбора данных не случаен, о чем свидетельствует код логирования, который Microsoft обнаружила на сервере расширения. Это указывает на то, что сбор данных был спланирован заранее.
Расширение также запрашивает у Chrome разрешения, которые позволяют перенаправлять пользователей, перезаписывать URL и отслеживать выполнение правил.
«Расширение запрашивает мощные разрешения DNR, которые позволяют перенаправлять трафик, переписывать URL и выборочно фильтровать запросы, что не соответствует ожидаемому поведению ИИ-помощника», — отмечают исследователи.
Несмотря на то, что Microsoft не нашла доказательств того, что расширение нацелено на учетные данные, подтвержденные методы сбора данных все же позволяли проводить обширное профилирование, создавая потенциальные возможности для эксплуатации уязвимостей.
Тем, кто установил расширение с идентификатором «flkebkiofojicogddingbdmcmkpbplcd», следует удалить его из браузера и сменить пароли от важных учетных записей из соображений предосторожности.
Редактор: AndreyEx
