Более 500 тысяч пользователей социальной сети «ВКонтакте» оказались под угрозой компрометации своих аккаунтов. Причиной стала масштабная вредоносная кампания, использующая популярные расширения для браузера Google Chrome.
Злоумышленники маскировали вредоносные программы под безобидные инструменты для персонализации профилей. Одно из таких расширений, "VK Styles Themes for vk.com", насчитывающее около 400 тысяч установок, формально лишь изменяло внешний вид страниц соцсети. Однако, по данным исследователей, оно внедряло вредоносный код, превращая браузеры пользователей в часть управляемой злоумышленниками инфраструктуры.
Расследование началось после обнаружения подозрительных рекламных скриптов на страницах пользователей. Выяснилось, что расширение использовало динамически генерируемые идентификаторы для обхода систем защиты. В ходе дальнейшего анализа были выявлены ещё четыре аналогичных расширения, суммарно установленные более чем на 500 тысяч устройств. Два из них уже удалены из магазина расширений Chrome.
Схема работы кампании оказалась многоуровневой. Вместо прямого указания серверов управления, вредоносное ПО извлекало необходимые параметры из HTML-метатегов профиля пользователя во «ВКонтакте» (vk.com/m0nda). Затем загружался следующий этап вредоносного кода с платформы GitHub, после чего происходило подключение рекламных скриптов. Таким образом, профиль в соцсети выступал в роли командного центра, а GitHub использовался для размещения вредоносной нагрузки. Такая архитектура затрудняла блокировку, поскольку трафик к VK и GitHub выглядел легитимным.
Кампания была активна как минимум с июня 2025 года по январь 2026 года. Автор расширения постепенно расширял функционал, включая манипуляции с cookie, работу с VK API и автоматическую подписку пользователей на определённые группы. В результате, заражённые аккаунты могли автоматически вступать в группу VK Styles, которая на данный момент насчитывает более 1,4 миллиона подписчиков.
Кроме того, расширение периодически сбрасывало пользовательские настройки, такие как сортировка ленты и тема сообщений, для поддержания контроля. Вредоносный код также вмешивался в работу защитных механизмов «ВКонтакте», изменяя cookie, что позволяло выполнять действия от имени пользователя. Отдельный модуль отслеживал статус подписки VK Donut, регулируя функционал и добавляя элементы монетизации.
Ключевой особенностью кампании являлась её гибкость. Логика работы расширения загружалась динамически, позволяя злоумышленнику изменять его поведение без необходимости обновления в магазине. Поскольку расширения Chrome обновляются автоматически, новая вредоносная функциональность быстро распространялась на большое количество устройств.