3 июля, 13:32
4

Удалите немедленно: это расширение для популярного ИИ на самом деле является шпионским вирусом

Исследователи в области кибербезопасности обнаружили в магазине Chrome вредоносное расширение, маскировавшееся под популярную ИИ-поисковую систему Perplexity. Вместо того чтобы помогать пользователям, оно тайно отслеживало их активность и перенаправляло трафик на серверы злоумышленников.

Как работала мошенническая схема?

Perplexity AI – это современная поисковая система на базе искусственного интеллекта, которая вместо обычного списка ссылок выдает готовые ответы с указанием источников. На волне популярности этого инструмента мошенники создали расширение под названием "Search for Perplexity AI", которое маскировалось под безопасного помощника, сообщает Gizmochina.

Смотрите также: Хакер без опыта взломал 14 компаний с помощью искусственного интеллекта

За кулисами расширение требовало чрезвычайно широких прав доступа, которые выходили далеко за пределы потребностей обычной поисковой системы:

  • Изменение настроек браузера: оно использовало разрешение chrome_settings_overrides, чтобы установить другую поисковую систему по умолчанию. Каждый раз, когда пользователь вводил текст в адресную строку, запрос сначала отправлялся на поддельный домен злоумышленников perplexity-ai.online, а только потом – на реальные результаты поиска.
  • Перехват трафика: благодаря разрешению declarativeNetRequest расширение могло перехватывать, блокировать или изменять сетевой трафик еще до того, как он достигал браузера. Это позволяло злоумышленникам видеть поисковые запросы и подсказки при вводе текста в режиме реального времени.

Хотя исследователи не обнаружили кражи паролей или финансовых данных, собранной информации вполне достаточно для создания подробного профиля интересов и онлайн-привычек жертвы.

Эта схема является частью более широких кампаний злоумышленников:

  • Кампания SearchJack (перехват поискового трафика): В июне 2026 года исследователи обнаружили масштабную мошенническую схему SearchJack, которая охватила 23 расширения для Chrome. Эти вредоносные инструменты маскировались под полезные сервисы (карты, спутниковые снимки, новостные ленты и т. д.), но на самом деле использовали параметр chrome_settings_overrides для изменения поисковой системы по умолчанию. Запросы более 758 000 пользователей перенаправлялись через посреднические серверы для получения прибыли от партнерской рекламы. Некоторые из этих расширений (например, Search Toggler) использовали динамическую загрузку кода, чтобы обойти проверки безопасности магазина Chrome Web Store.
  • Кампания PromptSnatcher (хищение ИИ-чатов): Еще одна опасная операция под названием PromptSnatcher (известная также как Panel 231) использовала два вредоносных расширения-блокировщика рекламы для тайного сбора переписки пользователей с популярными ИИ-платформами. Под угрозой оказались около 90 000 пользователей ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok и Meta AI. Злоумышленники интегрировали в расширения реальные списки фильтрации рекламы (EasyList), чтобы не вызывать подозрений, но параллельно внедряли JavaScript-код, который перехватывал запросы пользователей и ответы нейросетей. Настройки для анализа чатов загружались динамически с удаленного сервера, что позволяло мошенникам добавлять новые ИИ-платформы без обновления самого расширения в магазине.

Как удалить опасное расширение?

Компания Google быстро отреагировала на отчет Microsoft и удалила подделку из Chrome Web Store. Однако если вы уже успели его установить, оно будет оставаться активным на вашем устройстве, пока вы не удалите его вручную.

Чтобы избавиться от угрозы, выполните следующие действия:

  1. Откройте браузер Chrome. Нажмите на меню (три точки в правом верхнем углу), выберите "Расширения", а затем "Управление расширениями".
  2. Найдите нужное расширение и нажмите кнопку "Удалить".
  3. Обязательно проверьте настройки поисковой системы по умолчанию и сбросьте их при необходимости.

Настоящий сервис Perplexity AI работает исключительно по адресу perplexity.ai. Специалисты Microsoft призывают всегда дважды проверять домен и разработчика перед установкой любых программ, особенно тех, которые связаны с трендовыми ИИ-технологиями.

Этот инцидент в очередной раз доказывает, что даже официальные магазины приложений не идеальны. Несмотря на проверки в Chrome Web Store, мошенники постоянно совершенствуют методы имитации популярных сервисов. Регулярный аудит установленных расширений, внимательное отношение к разрешениям и доверие только проверенным разработчикам – это базовые правила цифровой гигиены, которые помогут сохранить ваши данные в безопасности.

Связанные темы: