Видаліть негайно: це розширення для популярного ШІ насправді є шпигунським вірусом
Дослідники з кібербезпеки виявили в магазині Chrome шкідливе розширення, що маскувалося під популярний ШІ-пошуковик Perplexity. Замість допомоги користувачам, воно таємно відстежувало їхню активність та перенаправляло трафік на сервери зловмисників.
Як працювала шахрайська схема?
Perplexity AI – це сучасна пошукова система на базі штучного інтелекту, яка замість звичайного списку посилань видає готові відповіді з джерелами. На хвилі популярності цього інструменту шахраї створили розширення під назвою "Search for Perplexity AI", яке маскувалося під безпечного помічника, повідомляє Gizmochina.
Дивіться також Хакер без досвіду зламав 14 компаній за допомогою штучного інтелекту
За лаштунками розширення вимагало надзвичайно широких прав доступу, які виходили далеко за межі потреб звичайного пошуковика:
- Зміна налаштувань браузера: Воно використовувало дозвіл chrome_settings_overrides, щоб встановити іншу пошукову систему за замовчуванням. Щоразу, коли користувач вводив текст в адресний рядок, запит спочатку йшов на фейковий домен зловмисників perplexity-ai.online, і лише потім – на реальні результати пошуку.
- Перехоплення трафіку: Завдяки дозволу declarativeNetRequest розширення могло перехоплювати, блокувати або змінювати мережевий трафік ще до того, як він досягне браузера. Це дозволяло зловмисникам бачити пошукові запити та підказки під час набору тексту в реальному часі.
Хоча дослідники не виявили викрадення паролів чи фінансових даних, зібраної інформації цілком достатньо для створення детального профілю інтересів та онлайн-звичок жертви.
Ця схема є частиною ширших кампаній зловмисників:
- Кампанія SearchJack (перехоплення пошукового трафіку): У червні 2026 року дослідники виявили масштабну шахрайську схему SearchJack, яка охопила 23 розширення для Chrome. Ці шкідливі інструменти маскувалися під корисні сервіси (карти, супутникові знімки, новинні стрічки тощо), але насправді використовували параметр chrome_settings_overrides для зміни пошукової системи за замовчуванням. Запити понад 758 000 користувачів перенаправлялися через сервери посередників для отримання прибутку від партнерської реклами. Деякі з цих розширень (наприклад, Search Toggler) використовували динамічне завантаження коду, щоб обійти перевірки безпеки магазину Chrome Web Store.
- Кампанія PromptSnatcher (викрадення ШІ-чатів): Ще одна небезпечна операція під назвою PromptSnatcher (відома також як Panel 231) використовувала два шкідливі розширення-блокувальники реклами для таємного збору листування користувачів із популярними ШІ-платформами. Під загрозою опинилися близько 90 000 користувачів ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok та Meta AI. Зловмисники інтегрували в розширення реальні списки фільтрації реклами (EasyList), щоб не викликати підозр, але паралельно впроваджували JavaScript-код, який перехоплював запити користувачів та відповіді нейромереж. Налаштування для парсингу чатів завантажувалися динамічно з віддаленого сервера, що дозволяло шахраям додавати нові ШІ-платформи без оновлення самого розширення в магазині.
Як видалити небезпечне розширення?
Компанія Google швидко відреагувала на звіт Microsoft і видалила підробку з Chrome Web Store. Однак якщо ви вже встигли його встановити, воно залишатиметься активним на вашому пристрої, поки ви не видалите його вручну.
Щоб позбутися загрози, виконайте такі кроки:
- Відкрийте браузер Chrome. Натисніть на меню (три крапки на панелі праворуч зверху), виберіть "Розширення", а потім "Керувати розширеннями".
- Знайдіть потрібне розширення і натисніть кнопку "Видалити".
- Обов'язково перевірте налаштування пошукової системи за замовчуванням та скиньте їх за потреби.
Справжній сервіс Perplexity AI працює виключно за адресою perplexity.ai. Фахівці Microsoft закликають завжди двічі перевіряти домен і розробника перед встановленням будь-яких програм, особливо тих, що пов'язані з трендовими ШІ-технологіями.
Цей інцидент вкотре доводить, що навіть офіційні магазини додатків не є ідеальними. Попри перевірки в Chrome Web Store, шахраї постійно вдосконалюють методи імітації популярних сервісів. Регулярний аудит встановлених розширень, уважність до дозволів та довіра лише перевіреним розробникам – це базові правила цифрової гігієни, які допоможуть зберегти ваші дані в безпеці.