
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Złośliwe rozszerzenia przeglądarkowe pozostają jednym z trudniejszych do wykrycia zagrożeń po stronie użytkownika końcowego. W opisanym przypadku fałszywy dodatek podszywający się pod Perplexity AI został udostępniony w Chrome Web Store i wykorzystywał nadane uprawnienia do przechwytywania zapytań wpisywanych w pasku adresu przeglądarki.
Tego typu incydent stanowi poważne zagrożenie dla prywatności użytkowników, integralności ruchu sieciowego oraz bezpieczeństwa danych behawioralnych. Choć nie potwierdzono kradzieży haseł ani poświadczeń, sam mechanizm działania pokazuje, jak łatwo rozszerzenie może uzyskać wgląd w codzienną aktywność ofiary.
W skrócie
Badacze wykryli fałszywe rozszerzenie imitujące oficjalne narzędzie Perplexity AI. Po instalacji dodatek zmieniał ustawienia wyszukiwania w przeglądarce i przekazywał zapytania użytkownika przez infrastrukturę kontrolowaną przez operatora kampanii, zanim następowało przekierowanie do właściwych usług.
- Rozszerzenie podszywało się pod znaną markę AI.
- Przechwytywało zapytania wpisywane w Omnibox.
- Modyfikowało ustawienia wyszukiwarki w przeglądarce Chrome.
- Wykorzystywało mechanizmy pozwalające na przekierowywanie ruchu.
- Nie potwierdzono kradzieży poświadczeń, ale ryzyko dalszej eskalacji było realne.
Kontekst / historia
Perplexity AI jest rozpoznawalnym narzędziem klasy answer engine, dlatego jego marka stała się atrakcyjnym celem dla operatorów kampanii podszywania się pod legalne usługi. Fałszywy dodatek został nazwany i zaprezentowany w sposób sugerujący powiązanie z prawdziwym produktem, co mogło uśpić czujność użytkowników.
W odróżnieniu od klasycznych kampanii phishingowych nie chodziło tutaj o przejęcie formularzy logowania czy natychmiastową kradzież danych dostępowych. Mechanizm nadużycia opierał się na przejęciu kontroli nad przepływem zapytań wyszukiwania, co umożliwiało cichą obserwację aktywności użytkownika oraz budowanie profilu jego zachowań.
Analiza techniczna
Techniczne działanie rozszerzenia opierało się przede wszystkim na nadpisaniu ustawień wyszukiwarki za pomocą mechanizmu chrome_settings_overrides. Pozwala on zmienić domyślnego dostawcę wyszukiwania w przeglądarce Chromium, przez co zapytania wpisywane w pasku adresu mogły być najpierw kierowane do obcej infrastruktury.
Drugim istotnym elementem były uprawnienia związane z modyfikacją ruchu, w tym możliwości oferowane przez declarativeNetRequest. Mechanizm ten może służyć do legalnego filtrowania i przepisywania żądań, ale w scenariuszu nadużycia pozwala na selektywne przekierowywanie ruchu, zmianę adresów URL oraz kontrolę nad tym, dokąd trafiają zapytania użytkownika.
Badacze wskazali również na kod po stronie serwera operatora, który sugerował intencjonalne logowanie przechwytywanych danych. To ważny sygnał, że kampania była zaprojektowana z myślą o zbieraniu informacji, a nie była wynikiem błędnej konfiguracji czy przypadkowego efektu ubocznego.
Z perspektywy bezpieczeństwa taki model działania jest szczególnie niebezpieczny, ponieważ może być rozwijany etapowo. Rozszerzenie, które dziś tylko pośredniczy w wyszukiwaniach, jutro może zostać zaktualizowane tak, by podstawiać zmanipulowane wyniki, wyświetlać złośliwe reklamy, przekierowywać ofiary do stron phishingowych lub profilować użytkowników pod kolejne kampanie socjotechniczne.
Konsekwencje / ryzyko
Najbardziej bezpośrednią konsekwencją jest naruszenie prywatności. Zapytania wyszukiwania należą do najbardziej wrażliwych danych behawioralnych, ponieważ ujawniają zainteresowania, plany, problemy zdrowotne, aktywność zawodową i kontekst prowadzonych działań.
W środowiskach firmowych problem jest jeszcze poważniejszy. Historia wyszukiwania może zawierać nazwy projektów, wewnętrzne narzędzia, dostawców, symptomy analizowanych incydentów lub informacje o architekturze organizacji. Nawet bez bezpośredniej kradzieży haseł taki zestaw danych może zostać wykorzystany do precyzyjnego phishingu i kolejnych etapów ataku.
- utrata prywatności i profilowanie użytkownika,
- ryzyko przekierowania do fałszywych lub złośliwych stron,
- możliwość manipulacji wynikami wyszukiwania,
- zbieranie danych kontekstowych przydatnych do ataków socjotechnicznych,
- potencjalna zmiana zachowania rozszerzenia po kolejnych aktualizacjach.
Rekomendacje
Użytkownicy, którzy zainstalowali podejrzane rozszerzenie, powinni natychmiast je usunąć, a następnie sprawdzić konfigurację domyślnej wyszukiwarki, listę aktywnych dodatków oraz ustawienia przeglądarki pod kątem nieautoryzowanych zmian.
W środowiskach organizacyjnych warto wdrożyć bardziej rygorystyczne podejście do zarządzania rozszerzeniami przeglądarkowymi.
- przeprowadzić audyt wszystkich dodatków zainstalowanych w przeglądarkach Chromium,
- wprowadzić listę dozwolonych rozszerzeń,
- blokować instalację dodatków spoza polityki bezpieczeństwa,
- monitorować zmiany ustawień wyszukiwarki i strony startowej,
- analizować ruch pod kątem nietypowych pośredników obsługujących wyszukiwania,
- włączyć telemetrię EDR/XDR obejmującą aktywność przeglądarki i rozszerzeń,
- szkolić użytkowników z weryfikacji wydawcy i zakresu żądanych uprawnień.
Dodatkowo rozsądnym krokiem może być rotacja haseł do kluczowych usług, zwłaszcza jeśli nie ma pewności, jak długo złośliwy dodatek pozostawał aktywny. Nawet przy braku dowodów na kradzież poświadczeń warto przyjąć ostrożne podejście do higieny dostępowej.
Podsumowanie
Incydent z fałszywym rozszerzeniem Perplexity pokazuje, że zagrożenia związane z browser extensions coraz częściej polegają na cichym przejmowaniu ruchu i profilowaniu użytkowników, a nie wyłącznie na klasycznej kradzieży danych logowania. Atakujący wykorzystali zaufanie do znanej marki oraz możliwości oferowane przez legalne mechanizmy platformy rozszerzeń Chrome.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że dodatki przeglądarkowe należy traktować jako pełnoprawny element powierzchni ataku. Kontrola uprawnień, polityki instalacji, monitoring zmian konfiguracji i regularny audyt rozszerzeń powinny stać się standardem zarówno w środowiskach enterprise, jak i u użytkowników indywidualnych.
Źródła
- BleepingComputer — Fake Perplexity extension on Chrome Web Store tracked searches — https://www.bleepingcomputer.com/news/security/fake-perplexity-extension-on-chrome-web-store-tracked-searches/
- Chrome for Developers — Overriding Chrome settings — https://developer.chrome.com/docs/extensions/reference/manifest/chrome-settings-override?hl=en
- Chrome for Developers — chrome.declarativeNetRequest Reference — https://developer.chrome.com/docs/extensions/mv2/reference/declarativeNetRequest
- Chrome for Developers — Declare permissions — https://developer.chrome.com/docs/extensions/develop/concepts/declare-permissions