Безобидная надстройка оказалась лишним посредником между человеком и поисковой системой.
Поисковая строка браузера часто выглядит безопасной, но вредоносное расширение для Chrome может превратить её в канал сбора данных ещё до открытия результатов. Microsoft выявила расширение «Search for perplexity ai», которое выдавало себя за сервис Perplexity и перехватывало поисковые запросы, а также ввод в адресной строке.
Расширение использовало похожий домен perplexity-ai[.]online вместо настоящего perplexity.ai и после установки назначало себя поисковой системой по умолчанию. Когда пользователь вводил запрос, браузер сначала отправлял данные на сервер злоумышленников. Там сохранялись сам запрос, IP-адрес, заголовки браузера и сведения о пользовательском агенте.
Самым опасным элементом стала работа с подсказками в адресной строке. Расширение перенаправляло на тот же домен не только готовые поисковые запросы, но и символы, которые человек набирал до нажатия Enter. В результате злоумышленники могли получать незавершённый ввод, включая ошибочные или черновые фразы.
После этого расширение перенаправляло человека к настоящим результатам в Perplexity, Google или Bing, поэтому работа поиска выглядела обычной. Сбор происходил на промежуточном этапе, ещё до перехода на легитимный сервис, и мог остаться незаметным для пользователя.
Специалисты Microsoft Defender не нашли доказательств кражи паролей, но указали, что расширение запрашивало слишком широкие права для обычного поискового инструмента. В коде также были отключённые правила перенаправления для Google и Bing, которые можно было включить позже, а ещё оставалась возможность запускать WebAssembly-код.
Google удалила расширение из магазина после ответственного раскрытия. Microsoft не назвала операторов схемы и не сообщила, сколько пользователей успели установить «Search for perplexity ai» до удаления. По оценке компании, случай вписывается в серию вредоносных расширений, которые используют интерес к ИИ-сервисам для получения доступа к данным.
Тем, кто устанавливал «Search for perplexity ai», стоит удалить расширение и проверить поисковую систему по умолчанию в Chrome. Организациям Microsoft советует разрешать только одобренные расширения, отслеживать изменения поисковых настроек, подозрительные разрешения и обращения к незнакомым доменам, а также внимательнее проверять издателя и адрес сайта у инструментов с ИИ-брендингом.
Поисковая строка браузера часто выглядит безопасной, но вредоносное расширение для Chrome может превратить её в канал сбора данных ещё до открытия результатов. Microsoft выявила расширение «Search for perplexity ai», которое выдавало себя за сервис Perplexity и перехватывало поисковые запросы, а также ввод в адресной строке.
Расширение использовало похожий домен perplexity-ai[.]online вместо настоящего perplexity.ai и после установки назначало себя поисковой системой по умолчанию. Когда пользователь вводил запрос, браузер сначала отправлял данные на сервер злоумышленников. Там сохранялись сам запрос, IP-адрес, заголовки браузера и сведения о пользовательском агенте.
Самым опасным элементом стала работа с подсказками в адресной строке. Расширение перенаправляло на тот же домен не только готовые поисковые запросы, но и символы, которые человек набирал до нажатия Enter. В результате злоумышленники могли получать незавершённый ввод, включая ошибочные или черновые фразы.
После этого расширение перенаправляло человека к настоящим результатам в Perplexity, Google или Bing, поэтому работа поиска выглядела обычной. Сбор происходил на промежуточном этапе, ещё до перехода на легитимный сервис, и мог остаться незаметным для пользователя.
Специалисты Microsoft Defender не нашли доказательств кражи паролей, но указали, что расширение запрашивало слишком широкие права для обычного поискового инструмента. В коде также были отключённые правила перенаправления для Google и Bing, которые можно было включить позже, а ещё оставалась возможность запускать WebAssembly-код.
Google удалила расширение из магазина после ответственного раскрытия. Microsoft не назвала операторов схемы и не сообщила, сколько пользователей успели установить «Search for perplexity ai» до удаления. По оценке компании, случай вписывается в серию вредоносных расширений, которые используют интерес к ИИ-сервисам для получения доступа к данным.
Тем, кто устанавливал «Search for perplexity ai», стоит удалить расширение и проверить поисковую систему по умолчанию в Chrome. Организациям Microsoft советует разрешать только одобренные расширения, отслеживать изменения поисковых настроек, подозрительные разрешения и обращения к незнакомым доменам, а также внимательнее проверять издателя и адрес сайта у инструментов с ИИ-брендингом.
- Источник новости
- www.securitylab.ru