Хакеры начали маскировать зараженные расширения для браузера Chrome под видом ИИ-ассистентов ChatGPT, Claude, Gemini, Grok и других, об этом смогли узнать специалисты LayerX. После их установки злоумышленники получают доступ к паролям, почте и прочей конфиденциальной информации.


Распространение осуществлялось путем координированной атаки AiFrame. Расширения были разные, но в их основе лежала единая кодовая база и общая серверная инфраструктура. Так, AI Assistant имитировал ИИ-ассистента Claude, его установили свыше 50 000 раз, при этом расширение было оценено как «Рекомендуемое» в самом Chrome Web Store, поэтому никто не мог предположить, что оно представляет опасность.

Расширения имели уникальную архитектуру, при установке загружался не вредоносный код, а полноэкранный iframe. При запуске пользователю становился доступным стандартный интерфейс ИИ-сервиса, но все взаимодействие происходило во внешней среде. Благодаря этому методу злоумышленники получали информацию о паролях, данных в Gmail и истории браузера Chrome. Удаление расширения из-за использованного хакерами «extension spraying» положительных результатов не давало из-за появления многочисленных клонов.


{$inoa}