Aktualności, Privacy

Złośliwe oprogramowanie kradnie pliki cookie Chrome , aby przejąć kontrolę nad kontami użytkowników

autor: Pieter Arntz | 26 czerwca 2026 r.
Kradzież plików cookie
Dodaj jako preferowane źródło w Google

Załącznik do wiadomości e-mail prowadzi do zainstalowania złośliwego Chrome . Badacze twierdzą, że jest to część Windows dla Windows dostarczanego za pośrednictwem wiadomości phishingowej. Złośliwe oprogramowanie wykorzystuje Chrome Messaging, aby przenieść kontrolę z przeglądarki do systemu hosta. Najbardziej charakterystyczną cechą tego ataku nie jest sama przynęta phishingowa, ale sposób, w jaki wykorzystuje on legalne Windows przeglądarki i Windows do uruchamiania środowiska PowerShell i gromadzenia danych, pozostając jednocześnie w ramach oczekiwanych procesów roboczych.

Atak rozpoczyna się od załącznika do wiadomości e-mail udającego plik PDF. Plik ten ma mylące rozszerzenie .pfd.js wygląda jak dokument PDF, ale w rzeczywistości jest to zaszyfrowany plik JavaScript, który umieszcza dodatkowe pliki w folderze tymczasowym i uruchamia dalszy etap łańcucha infekcji.

W ramach tego łańcucha skrypt PowerShell przygotowuje Chrome i zmienia ustawienia Chrome , tak aby umożliwić instalację tego rozszerzenia. Złośliwe oprogramowanie sprawia, że instalacja wygląda na wdrożenie kontrolowane przez administratora, a nie na zwykłą instalację rozszerzenia.

Po uruchomieniu rozszerzenie wraz z towarzyszącym mu natywnym modułem gromadzi pliki cookie przeglądarki, informacje o otwartych kartach, adresy URL, ustawienia językowe oraz dane służące do identyfikacji urządzenia. Operatorzy wykorzystują tę konfigurację również jako kanał do zdalnego wydawania poleceń, wysyłając instrukcje umożliwiające uruchomienie programu PowerShell oraz wyliczenie zawartości pliku C: dysk.

Dzięki skradzionym uwierzytelnionym plikom cookie sesji atakujący mogą przejąć kontrolę nad aktywnymi sesjami przeglądarki, a nie tylko wykraść hasła, co jest dla nich bardziej przydatne, ponieważ umożliwia im to uzyskanie dostępu do kont, na które ofiara jest już zalogowana w przeglądarce, z pominięciem uwierzytelniania wieloskładnikowego (MFA).

Najciekawszym aspektem tego ataku jest wykorzystanie funkcji Chrome Messaging jako pomostu między piaskownicą przeglądarki a systemem operacyjnym. Chrome rozszerzeniom komunikację ze zarejestrowanym hostem natywnym, a atakujący wykorzystali tę legalną funkcję do przekształcenia rozszerzenia w narzędzie do lokalnego wykonywania kodu. Rozszerzenie nie uruchamia programu PowerShell bezpośrednio. Zamiast tego wysyła komunikaty do hosta natywnego, który następnie uruchamia program PowerShell w systemie hosta lub wchodzi z nim w interakcję.

Jak zachować bezpieczeństwo

Pierwszą linią obrony przed tego rodzaju atakami jest unikanie otwierania załączników w wiadomościach e-mail, chyba że można zweryfikować nadawcę. Ponadto:

  • Zawsze sprawdzaj rzeczywiste rozszerzenie pliku, zamiast polegać na wyświetlanej nazwie pliku.
  • Należy korzystać z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, aby wykrywać i blokować złośliwą aktywność.
  • Sprawdź Chrome przeglądarki Chrome zainstalowane na swoim urządzeniu i usuń te, których nie rozpoznajesz lub z których już nie korzystasz.
  • Aby zachować szczególną ostrożność, po zakończeniu pracy wyloguj się z ważnych kont. Spowoduje to unieważnienie sesji, więc nawet jeśli ktoś wykradł Twój plik cookie sesji, nie będzie mógł go wykorzystać do uzyskania dostępu do Twojego konta.
  • Należy regularnie sprawdzać historię logowań na ważnych kontach. Wiele serwisów internetowych umożliwia sprawdzenie, z jakich urządzeń, kiedy i skąd dokonano logowania.

IOC

Załącznik:

Fattura-2819889242.pfd.js (wyświetlane jako Fattura-26189991026.pdf)

Pliki zawierające złośliwe oprogramowanie:

client_124578.exe
d3d11.dll

Chrome :

Imię: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg

Domena:

ext2[.]info

Jest to blokowane przez Malwarebytes Browser Guard, naszego bezpłatnego rozszerzenia do przeglądarki, które blokuje reklamy, moduły śledzące, złośliwe oprogramowanie i nie tylko.

Browser Guard stronę ext2[.]info
Browser Guard stronę ext2[.]info

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Błędy
PixelSmash

Luka w zabezpieczeniach PixelSmash sprawia, że pliki wideo stają się narzędziami ataku

Czerwiec 24, 2026

Naukowcy odkryli krytyczną lukę w zabezpieczeniach biblioteki FFmpeg, która może umożliwić atakującym wykorzystanie złośliwego pliku wideo do przejęcia kontroli nad podatnymi na atak systemami.

Produkt
Wilk w owczej skórze

Uważaj na oszustwa związane z przedłużeniem subskrypcji, w których sprawcy podszywają się pod firmę Malwarebytes

Czerwiec 24, 2026

Oszuści wysyłają fałszywe powiadomienia o przedłużeniu licencji oprogramowania, w których twierdzą, że naliczono opłatę za subskrypcję. Niektórzy podszywają się nawet pod Malwarebytes.

Oszustwa
Młody mężczyzna siedział z głową w jednej ręce, a w drugiej trzymał telefon.

Total do wszystkich twoich urządzeń”. Oszuści stosujący sekstorsję znów uderzają

Czerwiec 24, 2026

Twierdzą, że mają nagrania, złośliwe oprogramowanie i pełną kontrolę nad twoimi urządzeniami. Oto jak analizować e-mail z groźbą szantażu seksualnego z perspektywy badacza ds. bezpieczeństwa, a nie ofiary.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa