В частности, в отчетном периоде исследователи зафиксировали более 120 случаев эксплуатации вредоносных расширений, маскирующихся под легитимные инструменты для работы с HR- и ERP-системами. Это почти в полтора раза превышает показатели аналогичного периода прошлого года, когда подобных атак было 82. Доля инцидентов с полным захватом учетных записей достигла 27%, что указывает на растущую эффективность злоумышленников в обходе стандартных средств защиты.
Рост числа атак частично объясняется ошибочным восприятием расширений браузеров как безопасного инструмента. Многие организации продолжают интегрировать сторонние плагины без детальной проверки, что создает иллюзию надежности. Рост числа инцидентов дополнительно обусловлен тем, что сотрудники на рабочих компьютерах бесконтрольно устанавливают расширения, часто не проверяя их источники и разрешения. Внешние факторы включают активное распространение вредоносных расширений на сторонних площадках и использование злоумышленниками автоматизированных инструментов для обхода защиты. Отдельную роль играют сценарии, когда легитимные расширения выкупаются или перехватываются злоумышленниками, после чего в последующих обновлениях в них внедряется вредоносный код, при этом пользователи продолжают доверять уже установленным инструментам. В совокупности это создает сценарий, в котором компании не успевают адаптировать процессы реагирования к быстро меняющейся угрозе.
В ряде случаев статистика демонстрирует кратковременный спад числа инцидентов после удаления расширений из официальных магазинов браузеров, однако дальнейший анализ показывает, что вредоносные версии остаются доступными на сторонних площадках. Эксперты отмечают, что эта ложная позитивная динамика вводит компании в заблуждение: формально показатели снижаются, но реальный риск продолжает расти, поскольку пользователи скачивают альтернативные версии из менее контролируемых источников.
Основной механизм атак основан на похищении аутентификационных данных и обходе инструментов реагирования на инциденты. Вредоносные расширения, такие как DataByCloud Access и Software Access, перехватывают куки и токены аутентификации, блокируют доступ к административным страницам систем и внедряют украденные данные в сессии злоумышленников. Кроме того, некоторые расширения используют шифрование командно-контрольного трафика и функции, предотвращающие инспекцию кода в браузере, что существенно усложняет обнаружение и анализ угроз. В ряде кампаний расширения дополнительно модифицируют интерфейс администраторских панелей и элементы DOM, скрывая от сотрудников службы безопасности попытки смены настроек безопасности, добавления доверенных устройств или API-токенов, что фактически блокирует стандартные процедуры реагирования. Эти технические особенности, сочетаясь с недостаточной осведомленностью пользователей и слабой сегментацией прав доступа, создают условия для масштабного внедрения атакующих операций.
Анализ отраслевой статистики показывает, что наиболее уязвимыми остаются финансовый сектор, ритейл и информационные технологии. Финансовые организации составляют 22% всех зафиксированных инцидентов, ритейл – 18%, IT-компании – 15%, а государственные учреждения и образовательные организации – около 10% каждая. Остальные инциденты распределены между промышленностью, телекоммуникациями и сервисными компаниями. Такая концентрация объясняется высокой ценностью учетных данных и уровнем автоматизации процессов, что делает данные отрасли приоритетной целью злоумышленников.
Для минимизации рисков компании должны пересмотреть политику использования браузерных расширений, внедрить обязательное тестирование и аудит сторонних плагинов, а также регулярно обновлять системы контроля сессий и управления доступом. Практически это означает ведение реестра разрешенных расширений, использование политик блокировки по умолчанию в корпоративных браузерах и профилях, а также периодическую ревизию установленных дополнений на рабочих станциях с помощью EDR или специализированных инструментов инвентаризации. Рекомендуется установить инструменты мониторинга аномалий активности в браузере, ограничить права пользователей на установку расширений и регулярно проводить обучение сотрудников по безопасной работе с корпоративными ресурсами.
Отдельное внимание стоит уделить защите сессионных токенов: внедрению механизмов принудительного отзыва токенов при подозрительной активности, дополнительным проверкам устройств и геолокации, а также контролю доступа к чувствительным операциям в HR- и ERP-системах даже при наличии валидной сессии.
Дополнительно следует внедрить процедуры оперативного реагирования на выявленные вредоносные расширения, включая немедленное удаление, сброс паролей и проверку признаков несанкционированного доступа. Системный подход и интеграция этих мер в корпоративную культуру позволяют значительно снизить вероятность успешных атак через браузерные расширения и повышают общую устойчивость информационной инфраструктуры.