500 tys. kont VKontakte przejętych przez złośliwe rozszerzenia Chrome: jak działa kampania „VK Styles” i jak się bronić

Wprowadzenie do problemu / definicja luki

Przeglądarkowe rozszerzenia to dziś jeden z najbardziej niedoszacowanych wektorów ataku. Mają uprzywilejowany dostęp do treści stron (content scripts), sesji użytkownika i często szerokich uprawnień „host permissions”. jeżeli takie rozszerzenie okaże się złośliwe (lub zostanie przejęte), atakujący może działać „w środku” przeglądarki – tam, gdzie użytkownik jest już zalogowany, a mechanizmy ochronne serwisów (CSRF, restrykcje UI) bywają łatwiejsze do obejścia.

Właśnie ten scenariusz zmaterializował się w kampanii wymierzonej w VKontakte (VK): według ustaleń Koi Security i opisu incydentu w Recorded Future News / The Record, sieć pięciu powiązanych rozszerzeń Chrome doprowadziła do przejęcia ponad 500 tys. kont.

W skrócie

• Skala: ~502 tys. potwierdzonych ofiar (łączna liczba instalacji/poszkodowanych w badaniu).
• Wektor: 5 rozszerzeń Chrome udających narzędzia do „stylów”, motywów i ulepszania VK.
• Efekt: aktywna manipulacja kontem (m.in. wymuszane subskrypcje grup, cykliczne resety ustawień), a nie tylko „śledzenie” czy adware.
• Trwałość: mechanizmy utrzymania kontroli i wieloetapowe doładowywanie kodu z zewnętrznych źródeł.

Kontekst / historia / powiązania

Badacze Koi opisują kampanię jako działającą co najmniej od połowy 2025 r., z ciągłymi aktualizacjami do początku 2026 r. (czyli miesiące „cichej” obecności).
Co istotne, co najmniej jedno z rozszerzeń miało być wcześniej usunięte przez Google (już w 2024 r.) za naruszenia zasad – ale operator gwałtownie „przesiadł się” na nowe identyfikatory rozszerzeń i kontynuował operację. To klasyczny wzorzec „whack-a-mole” w ekosystemie dodatków.

MITRE ATT&CK od lat opisuje nadużycia rozszerzeń przeglądarkowych jako technikę utrzymania dostępu i realizacji działań na stacji roboczej użytkownika – w praktyce to wygodny kanał persystencji i manipulacji ruchem/treścią stron.

Analiza techniczna / szczegóły luki

1) „Legalnie wyglądające” rozszerzenia + zaufanie użytkownika

„VK Styles” i powiązane dodatki były promowane jako kosmetyczne ulepszenia VK (motywy, poprawa UX). W opisie Koi najważniejsze jest to, iż na poziomie listingu i recenzji nic nie musiało wyglądać podejrzanie – a użytkownicy często akceptują szerokie uprawnienia, bo „inaczej nie zadziała”.

2) Uprawnienia i uruchamianie kodu na vk.com

Mechanika ataku opiera się o typowe możliwości rozszerzeń: host permissions oraz content scripts, które pozwalają wykonywać kod w kontekście odwiedzanych stron (np. vk.com) i reagować na zdarzenia sesji użytkownika.

3) Wieloetapowy ładunek i „C2” w serwisie społecznościowym

Najciekawszy element badania Koi: złośliwy kod miał być doładowywany dynamicznie z metadanych profilu VK (w tekście pada przykład profilu pełniącego rolę infrastruktury C2). Dzięki temu operator mógł zmieniać zachowanie kampanii bez klasycznych aktualizacji binarki rozszerzenia.

4) Manipulacja ochronami aplikacji webowej (CSRF) i wymuszone akcje

Według Koi, malware wykonywał manipulacje tokenami CSRF i automatyzował działania na koncie, m.in. dopisywanie do grup z wysokim prawdopodobieństwem przy sesji, a także cykliczne „odkręcanie” ustawień co ~30 dni, aby ofiara nie odzyskała kontroli na stałe.

5) Wskaźniki kompromitacji (IOC) – identyfikatory rozszerzeń

Koi publikuje listę ID pięciu rozszerzeń i ich przybliżoną popularność (największe miało ok. 400 tys. instalacji). To praktyczny punkt zaczepienia dla SOC/IR (telemetria przeglądarek, EDR, polityki przeglądarkowe).

Praktyczne konsekwencje / ryzyko

1. Przejęcie konta „bez hasła” – jeżeli rozszerzenie działa w przeglądarce zalogowanego użytkownika, może wykonywać akcje w jego imieniu (session riding), choćby gdy MFA jest włączone.
2. Rozprzestrzenianie i monetyzacja – wymuszane dołączanie do grup i manipulacja ustawieniami może budować „zasięg” operatora, generować ruch, a choćby wspierać kampanie dezinformacyjne czy scam.
3. Ryzyko dla firm – jeżeli pracownik używa przeglądarki do pracy i prywatnie, rozszerzenie z szerokimi uprawnieniami jest realnym zagrożeniem dla danych firmowych (wgląd w treści stron, formularze, sesje).

W tle jest też problem systemowy: mimo procesu weryfikacji i zasad Web Store, złośliwe dodatki wciąż przenikają do marketplace’u (a potem wracają pod nowymi identyfikatorami).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników indywidualnych (VK / Chrome)

• Odinstaluj podejrzane rozszerzenia i sprawdź listę dodatków po ID (IOCs z raportu Koi).
• Zmień hasło do VK i wyloguj wszystkie sesje (jeśli VK oferuje „log out of all devices/sessions”).
• Zweryfikuj ustawienia konta: prywatność, powiązane aplikacje, nieznane grupy/subskrypcje, przekierowania, e-mail/telefon odzyskiwania.
• Jeśli używałeś podobnych dodatków w innych serwisach: rotacja haseł i przegląd logów bezpieczeństwa.

Dla organizacji (IT/SOC)

• Wymuś allow-listę rozszerzeń (polityki przeglądarkowe/MDM) i zablokuj instalację „z wolnej ręki”.
• Monitoruj instalacje po extension ID (telemetria endpointów) oraz wykrywaj anomalia: nowe rozszerzenia z szerokimi host permissions, nietypowe aktualizacje, komunikacja z nietypowymi domenami.
• Zredukuj uprawnienia: promuj dodatki korzystające z minimalnych/„optional permissions”, bo to ogranicza blast radius.
• Edukacja użytkowników: „motywy”, „ulepszacze” i „darmowe funkcje premium” to częsty pretekst do wyłudzania uprawnień.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do „klasycznych” złośliwych rozszerzeń kradnących dane (np. hasła, treści stron), ta kampania wyróżnia się aktywną manipulacją kontem w serwisie społecznościowym oraz pomysłowym wykorzystaniem platformy (VK) jako elementu infrastruktury sterującej. To nie tylko eksfiltracja – to operacja wpływu na zachowanie kont i budowanie trwałego kanału dystrybucji.
Z perspektywy ATT&CK to dobrze wpisuje się w nadużycia rozszerzeń przeglądarkowych jako techniki zapewniającej persystencję i wykonywanie akcji po stronie klienta.

Podsumowanie / najważniejsze wnioski

• Rozszerzenia przeglądarki to pełnoprawny wektor przejęcia kont – szczególnie gdy działają na stronach, gdzie użytkownik jest stale zalogowany.
• Kampania „VK Styles” pokazuje, iż atakujący potrafią łączyć socjotechnikę (motywy/ulepszenia) z dynamicznym doładowywaniem kodu i automatyzacją akcji na koncie na masową skalę.
• Najskuteczniejsze środki obrony to: redukcja liczby dodatków, minimalizacja uprawnień, allow-lista w firmach oraz szybka reakcja (odinstalowanie + reset sesji/hasła).

Źródła / bibliografia

1. The Record (Recorded Future News) – opis incydentu i odniesienie do raportu Koi Security. (The Record from Recorded Future)
2. Koi Security (Koi Research) – raport techniczny „VK Styles: 500K Users Infected…”, IOC i szczegóły kampanii. (koi.ai)
3. Chrome for Developers – model uprawnień (host permissions, content scripts, optional permissions). (Chrome for Developers)
4. Chrome Web Store – zasady programu i proces weryfikacji (malware/spyware zakazane, ochrona użytkowników). (Chrome for Developers)
5. MITRE ATT&CK – technika nadużyć rozszerzeń przeglądarkowych (Browser Extensions). (MITRE ATT&CK)