Две независимые киберкампании используют вредоносную рекламу и поддельные веб-сайты для распространения мошеннических браузерных расширений. Эти расширения, замаскированные под инструменты для получения верификации "М⃰ Verified" или под ИИ-оптимизаторы рекламы, предназначены для захвата бизнес-аккаунтов и рекламных кабинетов М⃰ (Ф⃰ и И⃰) путем кражи сессионных cookie, учетных данных и другой конфиденциальной информации.
Первая кампания, раскрытая румынской компанией по кибербезопасности Bitdefender, нацелена на пользователей, желающих получить синюю галочку верификации. Мошенники продвигают вредоносное расширение под названием "SocialMetrics Pro". Было зафиксировано не менее 37 вредоносных рекламных объявлений, которые содержали видеоурок, демонстрирующий процесс установки.
Для повышения доверия злоумышленники размещают установочный файл расширения на легитимном облачном сервисе Box. После установки SocialMetrics Pro собирает сессионные cookie-файлы Ф⃰ и отправляет их на контролируемый злоумышленниками Telegram-бот. Расширение также определяет IP-адрес жертвы через запрос к
Некоторые версии вредоносного ПО используют украденные cookie для взаимодействия с Ф⃰ Graph API с целью сбора дополнительной информации об аккаунте. Этот метод схож с тактикой, применявшейся ранее вредоносом NodeStealer. Атрибуция кампании указывает на вьетнамскоговорящих хакеров: видеоурок озвучен на вьетнамском языке, а комментарии в исходном коде также оставлены на нем. Злоумышленники фактически «индустриализируют» вредоносную рекламу, массово генерируя ссылки на доверенных платформах, таких как Box, и постоянно обновляя свои кампании.
Вторая кампания, о которой сообщила компания Cybereason, нацелена на рекламодателей. Мошенники создают поддельные веб-сайты, продвигающие мошеннические расширения для Chrome под видом ИИ-инструментов для оптимизации рекламы, обещая повышение рентабельности инвестиций (ROI). Одно из таких поддельных приложений называется "Madgicx Plus".
В Chrome Web Store были обнаружены несколько таких расширений. "Madgicx Plus – The SuperApp for М⃰ Advertisers" (ID:
После установки эти расширения получают полный доступ ко всем сайтам, которые посещает пользователь. Они запрашивают привязку аккаунтов Ф⃰ и Google, в процессе чего скрытно собирают идентификационные данные. Вредоносное ПО является многофункциональным: оно может внедрять скрипты, отслеживать активность в браузере, перехватывать данные из форм, а также похищать учетные данные и сессионные токены. Как и в первой кампании, для сбора данных об аккаунте используется Ф⃰ Graph API.
Атака проводится в два этапа. На первом этапе злоумышленники захватывают идентификационные данные пользователя Google. На втором этапе они переключаются на аккаунт Ф⃰ для захвата ценных бизнес-активов или рекламных кабинетов.
Конечная цель обеих кампаний — получение несанкционированного доступа к дорогостоящим бизнес-аккаунтам и рекламным кабинетам Ф⃰. Украденные аккаунты затем либо продаются на подпольных форумах другим мошенникам, либо используются для запуска новых вредоносных рекламных кампаний.
Использование скомпрометированных аккаунтов для распространения новой рекламы создает самоподдерживающийся цикл. Это позволяет злоумышленникам постоянно расширять масштабы своих операций и увеличивать число жертв.
Изображение носит иллюстративный характер
Первая кампания, раскрытая румынской компанией по кибербезопасности Bitdefender, нацелена на пользователей, желающих получить синюю галочку верификации. Мошенники продвигают вредоносное расширение под названием "SocialMetrics Pro". Было зафиксировано не менее 37 вредоносных рекламных объявлений, которые содержали видеоурок, демонстрирующий процесс установки.
Для повышения доверия злоумышленники размещают установочный файл расширения на легитимном облачном сервисе Box. После установки SocialMetrics Pro собирает сессионные cookie-файлы Ф⃰ и отправляет их на контролируемый злоумышленниками Telegram-бот. Расширение также определяет IP-адрес жертвы через запрос к
ipinfo[.]io/json. Некоторые версии вредоносного ПО используют украденные cookie для взаимодействия с Ф⃰ Graph API с целью сбора дополнительной информации об аккаунте. Этот метод схож с тактикой, применявшейся ранее вредоносом NodeStealer. Атрибуция кампании указывает на вьетнамскоговорящих хакеров: видеоурок озвучен на вьетнамском языке, а комментарии в исходном коде также оставлены на нем. Злоумышленники фактически «индустриализируют» вредоносную рекламу, массово генерируя ссылки на доверенных платформах, таких как Box, и постоянно обновляя свои кампании.
Вторая кампания, о которой сообщила компания Cybereason, нацелена на рекламодателей. Мошенники создают поддельные веб-сайты, продвигающие мошеннические расширения для Chrome под видом ИИ-инструментов для оптимизации рекламы, обещая повышение рентабельности инвестиций (ROI). Одно из таких поддельных приложений называется "Madgicx Plus".
В Chrome Web Store были обнаружены несколько таких расширений. "Madgicx Plus – The SuperApp for М⃰ Advertisers" (ID:
eoalbaojjblgndkffciljmiddhgjdldh), опубликованное в феврале 2025 года, насчитывало 28 установок. Два других, "М⃰ Ads SuperTool" и "Madgicx X Ads – The SuperApp for М⃰ Advertisers", с одинаковым ID cpigbbjhchinhpamicodkkcpihjjjlia, были опубликованы в марте 2025 года и имели 11 и 3 установки соответственно. На момент публикации отчета первое расширение все еще было доступно в магазине. После установки эти расширения получают полный доступ ко всем сайтам, которые посещает пользователь. Они запрашивают привязку аккаунтов Ф⃰ и Google, в процессе чего скрытно собирают идентификационные данные. Вредоносное ПО является многофункциональным: оно может внедрять скрипты, отслеживать активность в браузере, перехватывать данные из форм, а также похищать учетные данные и сессионные токены. Как и в первой кампании, для сбора данных об аккаунте используется Ф⃰ Graph API.
Атака проводится в два этапа. На первом этапе злоумышленники захватывают идентификационные данные пользователя Google. На втором этапе они переключаются на аккаунт Ф⃰ для захвата ценных бизнес-активов или рекламных кабинетов.
Конечная цель обеих кампаний — получение несанкционированного доступа к дорогостоящим бизнес-аккаунтам и рекламным кабинетам Ф⃰. Украденные аккаунты затем либо продаются на подпольных форумах другим мошенникам, либо используются для запуска новых вредоносных рекламных кампаний.
Использование скомпрометированных аккаунтов для распространения новой рекламы создает самоподдерживающийся цикл. Это позволяет злоумышленникам постоянно расширять масштабы своих операций и увеличивать число жертв.
