Вложение в электронном письме приводит к установке вредоносного Chrome . Исследователи утверждают, что оно является частью Windows для Windows , распространяемого через фишинговое письмо. Вредоносная программа злоупотребляет Chrome Messaging, чтобы перенести контроль из браузера в хост-систему. Самым примечательным приёмом здесь является не сама фишинговая приманка, а то, как программа использует легитимные Windows браузера и Windows для запуска PowerShell и сбора данных, оставаясь при этом в рамках ожидаемых рабочих процессов.
Атака начинается с вложения в электронном письме, замаскированного под файл PDF. Файл имеет вводящее в заблуждение расширение .pfd.js выглядит как документ в формате PDF, но на самом деле представляет собой зашифрованный файл JavaScript, который копирует дополнительные файлы во временную папку и запускает дальнейшую цепочку заражения.
В рамках этой цепочки скрипт PowerShell подготавливает Chrome и изменяет настройки Chrome таким образом, чтобы обеспечить возможность установки этого расширения. Вредоносное ПО маскирует эту установку под развертывание, контролируемое администратором, а не под обычную установку расширения.
После активации расширение и его встроенный компонент собирают файлы cookie браузера, данные об открытых вкладках, URL-адресах, языковых настройках и данные для идентификации устройства. Операторы также используют эту конфигурацию в качестве канала для удаленного управления, отправляя команды, которые могут запускать PowerShell и перечислять содержимое C: диск.
Используя похищенные аутентифицированные сессионные куки, злоумышленники могут не просто похитить пароли, а и перехватить активные сессии браузера, что для них гораздо выгоднее, поскольку позволяет получить доступ к учетным записям, в которые уже выполнен вход в браузере жертвы, обойдя многофакторную аутентификацию (MFA).
Наиболее интересным аспектом этой атаки является злоупотребление механизмом Chrome Messaging в качестве моста между песочницей браузера и операционной системой. Chrome расширениям взаимодействовать с зарегистрированным нативным хостом, и злоумышленники использовали эту легитимную функцию в злонамеренных целях, превратив расширение в средство управления для выполнения локального кода. Расширение не запускает PowerShell напрямую. Вместо этого оно отправляет сообщения нативному хосту, который затем запускает PowerShell в хост-системе или взаимодействует с ним.
Как оставаться в безопасности
Первая линия защиты от подобных атак заключается в том, чтобы не открывать вложения в электронных письмах, если вы не можете удостовериться в подлинности отправителя. Кроме того:
- Всегда проверяйте реальное расширение файла, а не полагайтесь на отображаемое имя файла.
- Используйте актуальное антивирусное решение, работающее в режиме реального времени, для обнаружения и блокировки вредоносной активности.
- Проверьте установленные на вашем устройстве Chrome и удалите те, которые вы не узнаете или больше не используете.
- В целях дополнительной безопасности выходите из важных учетных записей по окончании работы. Это приведет к аннулированию вашей сессии, поэтому даже если кто-то похитил ваш сессионный файл cookie, он не сможет использовать его для доступа к вашей учетной записи.
- Регулярно проверяйте историю входов в важные учетные записи. Во многих онлайн-сервисах можно посмотреть, с каких устройств, когда и откуда осуществлялся вход.
МНК
Приложение:
Fattura-2819889242.pfd.js (отображается как Fattura-26189991026.pdf)
Вредоносные файлы:
client_124578.exe
d3d11.dll
Chrome :
Имя: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Домен:
ext2[.]info
Это блокируется Malwarebytes Browser Guard— наше бесплатное расширение для браузера, которое блокирует рекламу, трекеры, вредоносное ПО и многое другое.
![Browser Guard сайт ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
