500 тысяч аккаунтов в соцсети «ВКонтакте» утекли в руки мошенников из-за вредоносного расширения VK Styles Themes for vk[.]com для Chrome с 400 тыс. установок. Находку обнаружили эксперты компании Koi Security.
Команда исследовала рекламный код Яндекса, на который сработал их фильтр защиты, а в итоге вышла на настоящую масштабную вредоносную кампанию. За легитимным изменением оформления страничек на самом деле скрывались управляемые злоумышленниками действия с аккаунтом жертвы:
- Автоматическая подписка на группы, принадлежащие мошеннической сети (примерно 75% сессий).
- Сброс настроек профиля каждые 30 дней с перезаписью пользовательских предпочтений. Например, сортировка ленты на «сначала недавние», сброс темы сообщений и других параметров.
- Манипуляция CSRF-токенами для обхода защиты VK и выполнения действий от имени пользователя (через API и прямые запросы).
- Внедрение рекламы с динамической загрузкой рекламных скриптов на все страницы VK.
- Проверка подписок VK Donut в группе атакующего для монетизации.
- Поддержка постоянного контроля за счет многоэтапного внедрения кода.
Расширения распространял пользователь GitHub под ником 2vk. Мошенническая кампания, как показало расследование, длилась с лета 2025 года и была активна вплоть до февраля 2026.
Изображение, приведенное исследователями Koi
Расширение обращалось к профилю vk[.]com/m0nda в VK, который выполнял роль командного C2-центра, и извлекало оттуда закодированные параметры из HTML-метатегов. Далее запускался следующий этап с подгрузкой вредоносного кода с GitHub и подключением рекламных скриптов.
Атака не похожа на ранее обнаруженные: никаких жестко закодированных URL в коде расширения, динамические обновления через простое редактирование VK-профиля, легитимная инфраструктура трафика — с домена vk[.]com и GitHub. Именно поэтому мошенническую активность долгое время было трудно обнаружить.
По итогам расследования, специалисты Koi обнаружили еще четыре связанных дополнения с 500 тыс. установок. Два из обнаруженных расширений были удалены из магазина Chrome.
Пресс-служба «ВКонтакте» прокомментировала инцидент, сообщив, что «все данные пользователей соцсети надёжно защищены. Сторонние расширения не имеют доступа к персональной информации или управлению аккаунтом без согласия пользователя». Эксперты посоветовали не устанавливать сторонние сервисы и расширения для работы с социальной сетью, поскольку это может привести к компрометации данных.
Другие материалы по теме:
- GhostPoster снова атакует: в популярных браузерах обнаружены еще 17 вредоносных расширений
- В браузере Firefox обнаружены 17 расширений с вредоносом GhostPoster для мошенничества с рекламой
- 4,3 млн браузеров заражены расширениями ShadyPanda, которые накручивают комиссию на партнерских программах
Подписывайтесь на наш канал в Telegram: рассказываем про реальные истории угроз, наши инструменты, факты о мошенничестве с рекламой и не только.
