Осторожно, Google рекомендует: легитимное расширение для скриншотов ShotBird превратили в шпионский софт
Миллионы пользователей Chrome находятся под угрозой из-за новой тактики киберпреступников, которые больше не создают вредоносы с нуля, а скупают популярные и рекомендованные самим Google расширения, превращая их в трояны для удаленного доступа. Жертвой такой схемы пало расширение ShotBird — некогда полезный инструмент для создания скриншотов, который после смены владельца стал настоящим троянским конем, высасывающим банковские данные и пароли прямо из браузера.
Согласно отчету исследователей monxresearch-sec, история ShotBird — это классический пример атаки на цепочку поставок программного обеспечения. Расширение дебютировало в Chrome Web Store в конце 2024 года и быстро завоевало доверие. Алгоритмы Google посчитали его безопасным и даже включили в список рекомендованных, что усыпило бдительность тысяч пользователей. До декабря 2025 года владельцем значился разработчик Акшай Ану, однако затем произошла тихая, но фатальная смена собственника на некую Лору Прайс.
Сразу после передачи прав функционал дополнения кардинально изменился. В обновлении была незаметно добавлена функция удаленного управления (C2), позволяющая атакующим внедрять произвольный JavaScript-код на любые страницы, которые посещает жертва. Вредоносная версия действовала по принципу «трояна-прокси»: расширение связывалось с командными серверами (в частности, api.getextensionanalytics.top и ggl.lat), получало оттуда сценарии и внедряло их в браузер в реальном времени.
Что именно крал ShotBird:
Перехват форм и клавиатурный шпионаж. Скрипты отслеживали ввод данных в поля на сайтах. Если пользователь вводил логин, пароль, номер кредитной карты или CVV-код на сайтах интернет-банков и платежных систем, эта информация мгновенно уходила злоумышленникам.
Ложные обновления Chrome. Расширение показывало пользователю реалистичное всплывающее окно с требованием срочно обновить браузер. При клике вместо официального апдейта загружался файл googleupdate.exe. Внутри этого файла, помимо легитимного установщика Chrome с настоящей подписью Google, находился пакет psfx.msi, который запускал обфусцированную команду PowerShell. Эта команда скачивала финальную нагрузку с домена orangewater00.com, получая полный контроль над ПК.
Отключение защиты сайтов. Вредонос намеренно отключал важнейшие заголовки безопасности браузера — Content-Security-Policy и X-Frame-Options. Это позволяло внедренным скриптам работать даже на защищенных страницах, где обычно подобные действия блокируются, включая страницы входа в онлайн-банкинг.
К марту 2026 года, после публикации разоблачающего отчета, страница ShotBird в магазине Chrome исчезла. Однако, как подчеркивают эксперты, инфраструктура атаки продолжает функционировать. Анализ серверов управления выявил пугающее сходство с предыдущей атакой на расширение QuickLens, о которой сообщала компания Annex Security. Схема везде одна: покупка популярного, проверенного временем расширения, тихое обновление с добавлением шпионских модулей и массовая кража данных.
Технические детали, обнаруженные на зараженных системах, показывают, что после запуска PowerShell вредонос собирал данные из диспетчера учетных записей Windows и вычищал файлы Login Data и Web Data из всех браузеров на базе Chromium. Это означает, что под удар попали не только текущие сессии, но и сохраненные пароли.
Срочные рекомендации пользователям:
Немедленно проверьте список установленных расширений в Chrome. Удалите ShotBird, если оно еще присутствует. Также обратите внимание на любые другие расширения, которые недавно обновлялись и сменили разработчика. Особую опасность представляют утилиты для скриншотов, VPN и менеджеры вкладок, так как они запрашивают доступ ко всем данным на страницах.
Google отреагировал на инцидент с запозданием: информация о вредоносной кампании была передана в команду Safe Browsing 7 и 8 марта 2026 года, но расширение было удалено только после публикации открытых данных. Домены злоумышленников (такие как baysideceu.com) и серверная инфраструктура остаются активными, что позволяет предполагать существование других, еще не обнаруженных расширений-зомби, ожидающих своей активации.
