Browser hijackers, или угонщики браузеров, — это тип вредоносного ПО, в первую очередь расширений, предназначенный для заражения браузера пользователя и внедрения в него стороннего кода. Например, они изменяют стартовую страницу, перенаправляют на мошеннические сайты из выдачи, отображают рекламу, выгодную мошенникам. Кроме того, они могут похищать данные авторизации и другую чувствительную информацию.
В январе 2025 года интернет-магазины и рекламодатели столкнулись с резким ростом количества таких вредоносных атак: перенаправление на сторонние сайты, внедрение мошеннической рекламы, вредоносные скрипты, которые крадут поведенческий опыт пользователя при совершении покупок. Последнее необходимо для обучения ИИ-ботов и имитации трафика.
История
Ходит легенда, что первыми создателями угонщиков браузеров была группа компаний-разработчиков ПО под названием Download Valley из Тель-Авива (Израиль). Чтобы монетизировать бесплатное программное обеспечение, они и придумали такой формат цифрового «бартера».
Некоторые из программ, производимых этими компаниями, являются шпионским и рекламным ПО, а также программами-перехватчиками.
Методы заражения
Самый популярный путь заражения — магазины расширений в браузерах, куда злоумышленники загружают свои вредоносные программы. Под раздачу попадают абсолютно все — Chrome, Mozilla, Edge и другие.
Кроме того, часть угонщиков представляют собой панели инструментов, которые поставляются в комплекте с другим программным обеспечением и доступны на сторонних сайтах.
Реже они попадают на устройство через встроенный код на посещаемом мошенническом сайте, всплывающие окна с рекламой и вредоносное ПО как часть полезной нагрузки.
В редких случаях они идут как легитимные и официальные программы. Пользователи могут устанавливать условно-безвредное ПО, в составе которого есть такой способ монетизации со встраиваем стороннего кода в браузер.
Примеры вредоносных браузерных расширений и другого ПО
Одними из самых популярных угонщиков браузеров в атаках типа browser hijacking считаются Babylon Toolbar, Conduit Search или Search Protect, CoolWebSearch, SourceForge Installer, OneWebSearch, Snap.do и Sweet Page.
Babylon Toolbar
Вредоносное расширение, входящее в состав пакета программного обеспечения для перевода Babylon и изменяющее настройки поиска браузера по умолчанию на isearch.babylon.com. Отображает рекламу, рекламные ссылки и поддельные результаты рекламной выдачи на поиске.
MSIL
Вирус MSIL атакует .NET приложения, крадёт учетные данные пользователей и отслеживает их поведение. Может показывать навязчивые всплывающие окна и вредоносную рекламу, которая вводит покупателей в заблуждение.
Другие его разновидности могут подделывать атрибуцию, перенаправляя пользователей со страницы оформления заказа (до завершения) на сторонние сайты с помощью различных уловок и внедряя рекламу конкурентов.
W32 и W64
Вредоносное ПО, разработанное под 32-битную и 64-битную систему Windows. Работает в фоновом режиме и собирает поведенческие метрики и паттерны пользователей. Также может красть платежные данные.
Vosteran
Браузерное дополнение, совместимое с Internet Explorer, Google Chrome и Mozilla Firefox. Изменяет домашнюю страницу и поисковую систему по умолчанию на vosteran.com. Обычно поставляется в комплекте с другими сторонними приложениями.
GenKryptik
Троян GenKryptik — тип вируса, который проникает на устройство, используя передовые методы шифрования для обхода обнаружения. Взламывает страницы оформления заказа на сайтах интернет-магазинов, похищая платежные данные покупателей. Размещает вредоносные баннеры с рекламой и перенаправляет пользователей, генерируя трафик на сторонние сайты.
Trovi
Можно найти при установке Cheat Engine или другой версии VLC Player на сайте oldapps.com или при загрузке приложений с определённых бесплатных сайтов, таких как Softonic.com или Download.com. Этот угонщик использует поисковую систему Bing для подмены результатов выдачи.
JDISearch
Угонщик, который изменяет ключевые настройки браузера: стартовую страницу, поисковую систему по умолчанию и URL-адреса страниц новых вкладок. В результате любые новые вкладки или поисковые запросы перенаправляют пользователя на продвигаемый мошенниками сайт.
Rain or Shine
Расширение для браузера, которое действует как угонщик. После установки вносит ряд изменений в браузерные настройки, устанавливая Rain.rainorshineext.com в качестве поисковой системы и домашней страницы по умолчанию.
ChromeLoader
Вредоносное расширение для браузера Chrome, которое распространяется в виде ISO-файлов через сайты с платной установкой и посты в социальных сетях. Функционирует путём перехвата поисковых запросов к Google, Yahoo и Bing и перенаправляет трафик на рекламируемые сайты.
Как browser hijackers перенаправляют трафик и покупателей
Браузеры, зараженные вредоносными программами, перехватывают сеансы, внедряют рекламу конкурентов и отвлекают пользователей от совершения покупки. Вот три примера подобных схем.
1 – Ловушка с внедрением сторонней рекламы
Покупатель добавляет в корзину средство по уходу за кожей премиум-класса. Рекламное ПО, запущенное в его браузере, выводит всплывающее объявление от конкурента, предлагающее скидку 10% на тот же товар в другом месте. Покупатель нажимает на объявление и перенаправляется на другой сайт, так и не завершив оформление заказа.
2 – Принудительные редиректы
Покупатель заходит на сайт интернет-магазина одежды, добавляет товары корзину и переходит на страницу оформления заказа. Вредоносная программа, например MSIL, перенаправляет его на поддельную страницу подтверждения платежа, которая выглядит идентично реальной. Покупатель вводит свои платежные реквизиты, которые тут же уходят мошенникам, теряет в итоге деньги и доверие к бренду.
3 – Медленная загрузка страниц и «брошенная корзина»
Пользователь сталкивается с задержкой загрузки страниц из-за скрытых вредоносных скриптов, запущенных в браузере. Эти скрипты отслеживают его поведение и отправляют информацию третьим лицам, которые могут использовать эти данные в пользу конкурентов для таргетинга или для обучения ИИ-ботов.
И это не преувеличение или выдумка. По подсчетам экспертов, на 2025 год 7-10% покупателей сталкивались с перехватом рекламы, несанкционированным перенаправлением и вредоносными всплывающими окнами.
Вредоносные расширения в Chrome и других браузерах: последние громкие случаи
Специалисты в области кибербезопасности регулярно обнаруживают новые мошеннические схемы, используемые для атак на пользователей и рекламодателей. Вот самые громкие случаи за последние несколько лет.
Вредоносы в браузерах Chrome и Firefox
В 2020 году мошенники распространяли вредоносные расширения для браузеров и манипулировали результатами поисковых систем. Они внедряли в выдачу свои результаты поиска и перенаправляли трафик на нужные им сайты, чтобы увеличить доход от рекламы. Угонщики браузеров были обнаружены в Google Chrome, Firefox, Microsoft Edge и Яндекс.
Вредоносное ПО Adrozek заражало более 30 тыс. компьютеров в день
В 2020 году компания Microsoft обнаружила новую вредоносную атаку под кодовым названием Adrozek. ПО на своём пике могло заражать до 30 тыс. компьютеров на ОС Windows в день.
Программа использовала скрипты для внедрения сторонней рекламы после изменения настроек и компонентов захваченного браузера. Вредоносные расширения могли показывать фальшивую рекламу поверх реальных рекламных объявлений.
В общей сложности в рамках этой мошеннической кампании эксперты обнаружили 159 доменов для размещения 17 300 уникальных URL-адресов, через которые злоумышленники доставляли вредоносы на устройства пользователей. Всего было доставлено более 15 300 образцов полиморфного вредоносного ПО, что с мая по сентябрь 2020 года привело к развертыванию сотен тысяч его образцов.
Вредоносный блокировщик рекламы в Chrome незаметно внедрял… рекламу
Вредоносная схема была обнаружена специалистами компании Imperva в 2021 году. Блокировщик рекламы в браузере Chrome под названием AllBlock Chromium размещал скрытые партнерские ссылки для искусственного завышения комиссионных вознаграждений в пользу его разработчиков.
Вредоносный скрипт отправлял на удаленный сервер подлинные URL-адреса и в ответ получал список доменов для перенаправления. Если пользователь нажимал на подменённую ссылку, его перенаправляло на продвигаемую мошенниками страницу сайта.
Вредоносное расширение использовало методы обхода, например исключало крупные российские поисковые системы или чистило консоль отладки каждые 100 мс.
Поддельные VPN-расширения в Chrome были установлены 1,5 млн раз
В 2023 году эксперты обнаружили три вредоносных браузерных расширения в Chrome, которые выдавали себя за VPN-сервисы, но на самом деле оказались угонщиками браузеров, инструментами для взлома кэшбэка и похитителями данных. В первую очередь из-за этой атаки пострадали пользователи из России, Казахстана и Республики Беларусь.
Согласно экспертам ReasonLabs, мошенники распространяли их через установщики пиратских копий популярных видеоигр, таких как Grand Theft Auto, Assassins Creed и The Sims 4, скачиваемых на торрент-трекерах.
Специалисты обнаружили свыше тысячи удалённых торрент-файлов, которые доставляли вредонос на устройства. Вредоносное расширение устанавливалось в браузер принудительно после распаковки и установки игры и не требовало от пользователя каких-либо действий.
В дальнейшем они использовались для кражи конфиденциальных данных, перехвата страниц, манипулирования веб-запросами. Они даже могли отключать другие расширения, установленные в браузере.
Как вредоносные расширения влияют на рекламу и бизнес
Угрозы со стороны мошеннических атак с использованием вредоносных браузерных расширений и рекламного ПО влекут за собой следующие последствия для бизнеса:
- Упущенная выгода. Принудительные редиректы и отображение сторонней рекламы вместо вашей отвлекает потенциальных клиентов, сокращает целевой трафик и снижает продажи. Пожизненная ценность клиента (LTV) у компаний, которые столкнулись с browser hijacking, снижается на 10-15%.
- Потеря доверия к бренду. Атаки с использованием вредоносных расширений влекут за собой репутационные риски. Вредоносная реклама, переадресации и кража персональных и платежных данных подрывают доверие клиентов.
- Кража данных. Рекламное ПО перехватывает платежную информацию пользователя, подвергая риску клиентов и влеча за собой юридические последствия для компании.
- Проблема партнерской атрибуции. Мошенники могут генерировать фальшивый трафик и подделывать атрибуцию в рекламных кампаниях. Внедряя в результаты выдачи стороннюю рекламу, они искажают полученные данные об эффективности, затрудняя отслеживание реального трафика и конверсий.
Вредоносные расширения представляют собой серьезную угрозу для рекламодателей, влияя на эффективность рекламных кампаний, доверие пользователей и общую безопасность данных. Рекламодателям необходимо быть внимательными к этим угрозам и принимать меры для защиты своих кампаний и репутации.
Подключите систему верификации рекламного трафика
Вы можете защитить свою рекламу от мошеннических атак. Для этого подключите систему антифрода и верификации трафика.
Справиться с зараженными пользовательскими устройствами такие системы не в силах, однако они способны проверять качество трафика и обнаруживать:
- некачественные площадки, принадлежащие мошенникам. С помощью вредоносных расширений злоумышленники могут генерировать трафик на свои сайты и искусственно завышать стоимость клика и количество переходов. Например, инструмент Защита Яндекс Директ проверяет качество площадок РСЯ и находит те, которые больше всего генерируют нецелевой трафик;
- ключевые слова, которые приводят больше всего фродовых визитов;
- устройства, браузеры и ОС, которые не конвертируют. Можно отслеживать всплески трафика с зараженных пользовательских браузеров и своевременно блокировать им показ рекламы. Сделать это можно с помощью инструмента Hard Target;
- фальшивое взаимодействие с формами заявок и заказов. Такой инструмент, как Умная капча, позволяет блокировать ботам доступ к конверсионным формам, тестам и квизам и не дает им генерировать фальшивые конверсии.
Кроме того, система антифрода проверяет каждый пользовательский профиль и автоматически отключает показ рекламы ботам и скликивателям. С помощью сервисов верификации трафика компании могут отключить до 99% фрода в рекламном трафике и увеличить конверсию в 5-10 раз. Вот примеры
Сохраняйте полный контроль над своими рекламными кампаниями. Не допускайте, чтобы вредоносные расширения уменьшали прибыль, мешали продвижению и развитию бизнеса.
Подключите систему антифрода бесплатно на 7 дней и попробуйте все инструменты сервиса на тарифе «Безлимитный».
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
