Złośliwe rozszerzenie Chrome podszywające się pod Perplexity przechwytywało wyszukiwania i dane z paska adresu - Security Bez Tabu

Złośliwe rozszerzenie Chrome podszywające się pod Perplexity przechwytywało wyszukiwania i dane z paska adresu

Cybersecurity news

Wprowadzenie do problemu / definicja

Złośliwe rozszerzenia przeglądarkowe pozostają jednym z najprostszych i jednocześnie najskuteczniejszych sposobów pozyskiwania danych użytkowników bez konieczności pełnej infekcji systemu. Najnowszy przypadek dotyczy dodatku do Google Chrome, który podszywał się pod narzędzie związane z Perplexity i wykorzystywał mechanizmy przeglądarki do przechwytywania wyszukiwań oraz danych wpisywanych bezpośrednio w pasek adresu.

To zdarzenie pokazuje, że nawet pozornie nieszkodliwe rozszerzenie udające wyszukiwarkę może w praktyce działać jak narzędzie masowej telemetrii, zbierania zapytań i monitorowania aktywności użytkownika w czasie rzeczywistym.

W skrócie

  • Wykryto złośliwe rozszerzenie Chrome o nazwie „Search for perplexity ai”.
  • Dodatek ustawiał się jako domyślna wyszukiwarka przeglądarki.
  • Ruch użytkownika był przekierowywany przez serwer kontrolowany przez atakujących.
  • Operatorzy mogli rejestrować zapytania, adres IP, nagłówki przeglądarki i dane wpisywane w omniboksie jeszcze przed zatwierdzeniem.
  • Incydent wpisuje się w rosnący trend nadużyć wykorzystujących popularność narzędzi AI i rozpoznawalnych marek.

Kontekst / historia

Popularność usług opartych na sztucznej inteligencji stworzyła nową przestrzeń do nadużyć. Cyberprzestępcy coraz częściej wykorzystują znane marki, modne słowa kluczowe oraz identyfikację wizualną kojarzoną z legalnymi usługami, aby zwiększyć skuteczność kampanii i skłonić użytkowników do instalacji podejrzanych dodatków.

W tym przypadku wykorzystano nazwę sugerującą związek z Perplexity oraz infrastrukturę, która miała sprawiać wrażenie wiarygodnej. Schemat działania nie opierał się na klasycznym malware w rozumieniu infekowania całego systemu, lecz na nadużyciu legalnych funkcji platformy rozszerzeń Chrome. Dzięki temu aktywność dodatku mogła wyglądać normalnie, ponieważ użytkownik nadal otrzymywał oczekiwane wyniki wyszukiwania.

To ważny trend z perspektywy bezpieczeństwa: atakujący coraz częściej wybierają rozwiązania mniej widowiskowe, ale trudniejsze do wykrycia. Zamiast szyfrowania plików czy przejmowania stacji roboczej, skupiają się na długotrwałym przechwytywaniu danych, które mogą później zostać wykorzystane do rekonesansu, phishingu lub kolejnych etapów kompromitacji.

Analiza techniczna

Po instalacji rozszerzenie przejmowało rolę domyślnego dostawcy wyszukiwania. Oznaczało to, że każde zapytanie wpisane przez użytkownika było najpierw kierowane do infrastruktury kontrolowanej przez operatorów kampanii. Tam następowało logowanie żądania, a dopiero później użytkownik był przekierowywany do właściwych wyników wyszukiwania.

Z perspektywy ofiary cały proces wyglądał wiarygodnie. Wyniki wyświetlały się normalnie, dlatego użytkownik mógł nie zauważyć, że jego ruch przechodził przez pośredni serwer. Właśnie ten element czynił kampanię szczególnie niebezpieczną: widoczny efekt końcowy nie odbiegał od typowego działania przeglądarki.

Najbardziej niepokojący był jednak mechanizm przechwytywania sugestii wyszukiwania. Rozszerzenie konfigurowało parametry odpowiedzialne za dynamiczne podpowiedzi w taki sposób, aby dane wpisywane w pasku adresu były wysyłane do serwera atakującego w czasie rzeczywistym. W praktyce umożliwiało to zbieranie nie tylko gotowych zapytań, ale również częściowych fraz, błędów pisowni, poprawek, adresów URL, nazw systemów wewnętrznych oraz innych danych wpisywanych przed naciśnięciem Enter.

Technicznie atak nie wymagał wykorzystania luki w samym Chrome. Opierał się na legalnych możliwościach oferowanych przez ekosystem rozszerzeń, takich jak zmiana dostawcy wyszukiwania, kontrola przekierowań i obsługa reguł sieciowych. O złośliwym charakterze decydowało dopiero połączenie tych funkcji z intencjonalnym przekazywaniem oraz logowaniem ruchu użytkownika.

Dodatkowo rozszerzenie żądało uprawnień, które pozwalały wpływać na ruch sieciowy, a analiza wskazywała na przygotowanie reguł mogących objąć także inne wyszukiwarki. Zwrócono również uwagę na elementy sugerujące gotowość do uruchamiania kodu WebAssembly, co dla prostego dodatku wyszukiwarki trudno uznać za uzasadnione biznesowo.

Konsekwencje / ryzyko

Ryzyko wynikające z działania takiego rozszerzenia jest znaczące zarówno dla użytkowników indywidualnych, jak i dla organizacji. Wyszukiwania internetowe oraz dane wpisywane do paska adresu bardzo często zawierają informacje, które same w sobie nie są traktowane jak tajne, ale po połączeniu tworzą wartościowy profil aktywności użytkownika.

Mogą to być między innymi nazwy klientów, identyfikatory spraw, frazy związane z incydentami bezpieczeństwa, adresy paneli administracyjnych, ścieżki do aplikacji SaaS, subdomeny środowisk testowych czy elementy dokumentacji technicznej. Nawet jeśli nie dochodzi do bezpośredniej kradzieży haseł, napastnicy uzyskują dane przydatne w rekonesansie i przygotowaniu bardziej precyzyjnych ataków.

W środowisku firmowym skutki mogą być jeszcze poważniejsze. Dane wpisywane w omniboksie bywają związane z zarządzaniem infrastrukturą, pracą administratorów, obsługą zgłoszeń lub wewnętrznymi narzędziami. To może prowadzić do lepiej ukierunkowanego phishingu, prób przejęcia tożsamości, mapowania środowiska oraz identyfikacji potencjalnie podatnych zasobów.

Istotnym problemem pozostaje także niska wykrywalność. Skoro użytkownik nadal widzi poprawne wyniki wyszukiwania, kampania może działać przez długi czas bez wzbudzania podejrzeń. To sprawia, że złośliwe rozszerzenia podszywające się pod modne narzędzia AI są szczególnie atrakcyjnym narzędziem dla cyberprzestępców.

Rekomendacje

Najważniejszym krokiem ochronnym jest wdrożenie ścisłej polityki zarządzania rozszerzeniami przeglądarkowymi. W organizacjach najlepiej sprawdza się model allowlist, w którym użytkownicy mogą instalować wyłącznie wcześniej zatwierdzone dodatki. Takie podejście powinno być egzekwowane centralnie za pomocą polityk przeglądarki i narzędzi do zarządzania urządzeniami.

  • Ogranicz możliwość samodzielnej instalacji rozszerzeń przez użytkowników.
  • Monitoruj zmiany domyślnej wyszukiwarki i ustawień przeglądarki.
  • Weryfikuj żądane uprawnienia dodatków, zwłaszcza związane z przekierowaniami i ruchem sieciowym.
  • Regularnie audytuj listę zainstalowanych rozszerzeń na stacjach roboczych.
  • Sprawdzaj zgodność nazw, domen i identyfikacji wizualnej z oficjalną marką dostawcy.
  • Traktuj rozszerzenia związane z AI jako obszar podwyższonego ryzyka ze względu na częste nadużycia marketingowe.

Zespoły bezpieczeństwa powinny również analizować nietypowy ruch HTTP i HTTPS związany z procesem wyszukiwania oraz dodatki, które deklarują prostą funkcję, ale żądają rozbudowanych uprawnień. Szczególną uwagę należy zwrócić na rozszerzenia modyfikujące sposób działania omniboksu, sugestii wyszukiwania lub reguł przekierowań.

Jeżeli podejrzane rozszerzenie zostało już zainstalowane, należy je niezwłocznie usunąć, przywrócić prawidłową konfigurację wyszukiwarki i przeanalizować, jakie dane mogły zostać ujawnione. W środowisku firmowym taki przypadek warto traktować jako potencjalny incydent bezpieczeństwa wymagający przeglądu logów sieciowych, konfiguracji przeglądarek i aktywności kont użytkowników.

Podsumowanie

Przypadek fałszywego rozszerzenia podszywającego się pod Perplexity pokazuje, że przeglądarka pozostaje jednym z kluczowych punktów ryzyka we współczesnym środowisku pracy. Atak nie wymagał zaawansowanego exploitu, lecz wykorzystał dozwolone funkcje platformy rozszerzeń do systematycznego przechwytywania wyszukiwań i danych wpisywanych w pasku adresu.

To kolejny sygnał, że ocena bezpieczeństwa dodatków nie może opierać się wyłącznie na ich nazwie, deklarowanej funkcji czy skojarzeniu z popularną marką. Skuteczna ochrona wymaga kontroli uprawnień, monitorowania zmian konfiguracji przeglądarki oraz rygorystycznego podejścia do instalacji narzędzi powiązanych z modnymi usługami AI.

Źródła

  • The Hacker News – Malicious Perplexity Chrome Extension Intercepted Searches and Address Bar Input — https://thehackernews.com/2026/06/malicious-perplexity-chrome-extension.html
  • Microsoft Security Blog – Browser security research by Microsoft Defender experts — https://www.microsoft.com/en-us/security/blog/
  • Chrome for Developers – Extension platform documentation — https://developer.chrome.com/docs/extensions