Μια παραπλανητική καμπάνια προγράμματος περιήγησης έχει εκθέσει εκατομμύρια χρήστες σε εκτεταμένη παρακολούθηση μέσω φαινομενικά αθώων επεκτάσεων VPN. Οι επεκτάσεις του Chrome που διατίθενται στο εμπόριο ως υπηρεσίες «Δωρεάν απεριόριστο VPN» συγκέντρωσαν πάνω από 9 εκατομμύρια εγκαταστάσεις πριν από τον εντοπισμό ασφαλείας, με το κακόβουλο λογισμικό να παραμένει κρυφό για σχεδόν έξι χρόνια.
Αυτά τα εργαλεία υποσχέθηκαν απλές λύσεις απορρήτου με ενεργοποίηση με ένα κλικ, αλλά παρείχαν ακριβώς το αντίθετο: πλήρη ορατότητα στις συνήθειες περιήγησης των χρηστών και στην κίνηση δικτύου.
Οι επεκτάσεις λειτουργούσαν ως τηλεκατευθυνόμενα συστήματα διακομιστή μεσολάβησης και όχι ως παραδοσιακά VPN. Έλαβαν κρυφά αρχεία διαμόρφωσης από διακομιστές που ελέγχονται από τους εισβολείς, άλλαξαν τις ρυθμίσεις διακομιστή μεσολάβησης σε πραγματικό χρόνο και παρέκοψαν κάθε συμβάν πλοήγησης του προγράμματος περιήγησης.
Με την ανακατεύθυνση της κυκλοφορίας μέσω μη εξουσιοδοτημένων διακομιστών, οι εισβολείς απέκτησαν πρόσβαση σε ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσης, των οικονομικών δεδομένων και των προσωπικών μοτίβων περιήγησης.
Η καμπάνια δείχνει πώς οι απλές άδειες, όταν συνδυάζονται με ελάχιστη εποπτεία, μετατρέπουν τα νόμιμα εργαλεία που εμφανίζονται σε όργανα επιτήρησης.
Αναλυτές ασφαλείας LayerX αναγνωρισθείς και τεκμηρίωσε την καμπάνια, ανακαλύπτοντας δύο κύριες εκδόσεις διαθέσιμες από το 2019 έως τον Μάιο του 2025.
Μετά την αφαίρεση, μια τρίτη σχεδόν πανομοιότυπη επέκταση εμφανίστηκε μόλις δύο μήνες αργότερα, υποδηλώνοντας ότι οι χειριστές παρέμειναν αφοσιωμένοι στη διατήρηση της υποδομής επίθεσης.
Η επέκταση A, που δημιουργήθηκε τον Σεπτέμβριο του 2019, και η επέκταση Β, που κυκλοφόρησε τον Μάιο του 2020, μοιράστηκαν τον τομέα υποστήριξης free-vpn.pro και παρουσίασαν σχεδόν την ίδια κακόβουλη συμπεριφορά.
.webp.jpeg)
Η επέκταση C εμφανίστηκε τον Ιούλιο του 2025, εμφανίζοντας πιο μυστικές τεχνικές διατηρώντας τους ίδιους θεμελιώδεις στόχους.
Από το Detection Evasion στο Dynamic Control
Η έκδοση του 2025 έδειξε αξιοσημείωτη πρόοδο στις τακτικές αποφυγής και στους μηχανισμούς επιμονής. Σε αντίθεση με προηγούμενες επαναλήψεις, αυτή η παραλλαγή χρησιμοποιούσε καθυστερήσεις δύο δευτερολέπτων πριν από την ενεργοποίηση του διακομιστή μεσολάβησης, πιθανότατα σχεδιασμένες για να παρακάμπτουν τα εργαλεία ανάλυσης που βασίζονται σε sandbox που χρησιμοποιούνται συνήθως στην έρευνα ασφάλειας.
Η επέκταση κατέβασε τη λογική δρομολόγησης του βασικού διακομιστή μεσολάβησης κατά το χρόνο εκτέλεσης και την εκτέλεσε δυναμικά, εμποδίζοντας την ανάλυση στατικού κώδικα να αποκαλύψει την πλήρη αλυσίδα επίθεσης.
Η επέκταση σαρώθηκε για ανταγωνιστικά εργαλεία διακομιστή μεσολάβησης και τα απενεργοποίησε πλήρως, διασφαλίζοντας τον αποκλειστικό έλεγχο της κίνησης των χρηστών. Απαριθμούσε εγκατεστημένες επεκτάσεις και κατακερματίζει περιοδικά τις επισκέψιμες διευθύνσεις URL, μεταδίδοντας αυτά τα δεδομένα προφίλ σε απομακρυσμένους διακομιστές εντολών και ελέγχου.
Το κακόβουλο λογισμικό εισήγαγε σενάρια keepalive στις καρτέλες του προγράμματος περιήγησης για να διατηρήσει την επιμονή, εμποδίζοντας τους μηχανισμούς ασφαλείας του Chrome να ξεφορτώσουν τον κακόβουλο εργάτη στο παρασκήνιο.
Παραβίαση της ιστορίας history.replaceState() διέγραψε τα ιατροδικαστικά στοιχεία των επιχειρήσεων ανακατεύθυνσης, περιπλέκοντας τις προσπάθειες έρευνας και αποκατάστασης.
Η επέκταση τροποποίησε περαιτέρω τις ρυθμίσεις διακομιστή μεσολάβησης μέσω απομακρυσμένων σεναρίων PAC, επιτρέποντας στους εισβολείς να ανακατευθύνουν τα θύματα σε σελίδες phishing ή διαφημιστικά αγροκτήματα χωρίς αλληλεπίδραση με τον χρήστη.
Αυτή η προσέγγιση επέτρεψε τροποποιήσεις συμπεριφοράς μετά την εγκατάσταση, παρακάμπτοντας τις διαδικασίες ελέγχου του Chrome Web Store μετά την έγκριση της επέκτασης.
Αυτές οι ανακαλύψεις αποκαλύπτουν κρίσιμα τρωτά σημεία ασφαλείας στην αρχιτεκτονική επέκτασης του προγράμματος περιήγησης. Οι επεκτάσεις στις οποίες χορηγούνται ευρείες άδειες δεν διαθέτουν επαρκή επίβλεψη χρόνου εκτέλεσης, μετατρέποντας τα αξιόπιστα εργαλεία σε πλατφόρμες κρυφής επίθεσης.
Οι χρήστες που εγκαθιστούν δωρεάν υπηρεσίες VPN αντιμετωπίζουν σημαντικούς κινδύνους, καθώς οι χειριστές μπορούν να υποκλέψουν όλη την κίνηση, να συλλέξουν διαπιστευτήρια και να πραγματοποιήσουν στοχευμένες επιθέσεις παρακολούθησης, διατηρώντας παράλληλα τον πλήρη απομακρυσμένο έλεγχο των παραβιασμένων προγραμμάτων περιήγησης.
