Шкідливе розширення для Chrome перехоплювало AI-запити користувачів

30.06.2026 1 хвилин Автор: Newsman

Фахівці з Microsoft Threat Intelligence виявили шкідливе браузерне розширення, яке видавало себе за офіційний чат-бот Perplexity AI. Насправді воно непомітно перехоплювало пошукові запити користувачів, записувало введені символи та передавало зібрані дані на сервери, контрольовані зловмисниками.

Розширення мало назву Search for Perplexity AI та використовувало схожий дизайн і домен perplexity-ai[.]online, щоб виглядати як офіційний сервіс. До моменту видалення воно було доступне у Chrome Web Store та працювало як у Google Chrome, так і в Microsoft Edge.

Після встановлення розширення автоматично змінювало пошукову систему браузера. Відтоді кожен запит спочатку проходив через сервери зловмисників, а вже потім користувач отримував результати від справжніх пошукових систем, зокрема Perplexity, Google або Bing. Оскільки результати залишалися справжніми, більшість користувачів навіть не здогадувалися, що їхні запити перехоплюються.

Втім, на цьому можливості розширення не закінчувалися. Воно передавало на сервери нападників кожен символ, який користувач вводив в адресний рядок браузера, ще до натискання клавіші Enter. Фактично це дозволяло вести спостереження за діями користувача на рівні натискань клавіш.

Під час аналізу Microsoft також з’ясувала, що розширення запитувало значно ширші дозволи, ніж потрібні звичайному AI-помічнику. Зокрема, воно використовувало потужний механізм Declarative Net Request (DNR), який дозволяє перенаправляти мережевий трафік, змінювати URL-адреси та вибірково фільтрувати запити. За словами дослідників, така поведінка не відповідає роботі легітимного AI-асистента.

Зібрана інформація спочатку зберігалася локально на пристрої, після чого періодично передавалася через зашифровані HTTPS-з’єднання на домени deepaichats[.]com та chatsaigpt[.]com, які контролювалися зловмисниками. Після успішної передачі локальні буфери очищалися, що значно ускладнювало виявлення слідів роботи шкідливого розширення.

Дослідники зазначають, що ця кампанія є частиною більшої тенденції, коли кіберзлочинці використовують популярність сервісів штучного інтелекту для поширення шкідливого програмного забезпечення.

Так, ще у грудні компанія OX Security виявила два шкідливі розширення Chrome, замасковані під інструменти AI від AITOPIA. Загалом їх встановили близько 900 тисяч разів. Хоча розширення виконували заявлені функції, вони одночасно шпигували за розмовами користувачів.

У березні Microsoft також повідомляла про масштабну кампанію чат-скіммінгу, яка зачепила приблизно 900 тисяч встановлень у понад 20 тисячах організацій. Тоді зловмисники збирали конфіденційні дані взаємодії з AI-чатботами.

Нова кампанія свідчить про зміну тактики. Якщо раніше основною ціллю були історії листування з AI-помічниками, то тепер зловмисники намагаються збирати всі пошукові запити користувачів і навіть окремі символи, які вводяться в адресний рядок браузера.

Фахівці рекомендують користувачам перевірити список встановлених розширень, видалити невідомі або підозрілі доповнення, переконатися, що пошукова система браузера не була змінена без їхнього відома, а також уважно перевіряти розробника й офіційний сайт перед встановленням будь-яких AI-інструментів для браузера.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.