Уже 500 тысяч человек пострадали: пользователям VK грозит утеря аккаунтов

Специалисты по кибербезопасности обнаружили масштабную вредоносную кампанию, в ходе которой через браузерные расширения для Chrome были скомпрометированы более 500 тысяч аккаунтов во «ВКонтакте», пишут профильные СМИ. По их данным, Злоумышленники маскировали вредоносное ПО под безобидные инструменты для оформления профиля, превращая браузеры жертв в часть управляемой инфраструктуры.

Наибольшую популярность получило расширение VK Styles Themes for vk.com, установленное порядка 400 тысяч раз. Формально оно предназначалось для изменения дизайна соцсети, но фактически внедряло вредоносный код на каждую загружаемую страницу ВК и подключалось к скрытой системе управления. Исследователи обратили внимание на проблему после фиксации подозрительных вставок рекламных скриптов «Яндекса» на страницах пользователей. В ходе анализа выяснилось, что расширение использует динамически вычисляемый идентификатор счётчика, что позволяет обходить статические проверки безопасности.

Архитектура кампании оказалась нестандартной: вместо жёстко прописанных серверов управления расширение обращалось к обычному профилю во «ВКонтакте» — vk.com/m0nda — и извлекало закодированные параметры из HTML-метатегов. Далее загружался следующий этап вредоносного кода с GitHub, после чего подключались рекламные скрипты. Таким образом, профиль VK использовался как командный центр (C2), а GitHub — как площадка для хранения нагрузки. Подобная схема значительно усложняла обнаружение, поскольку трафик к легитимным ресурсам не вызывал подозрений.

Кампания действовала как минимум с июня 2025 года по январь 2026-го. За это время автор постепенно расширял функционал: от манипуляций с cookie до работы с VK API. В частности, при каждом входе в соцсеть с вероятностью 75 процентов пользователя автоматически подписывали на группу «VK Styles» (id -168874636), которая сейчас насчитывает более 1,4 миллиона участников. Кроме того, каждые 30 дней расширение сбрасывало настройки интерфейса — сортировку ленты, тему сообщений и другие параметры, что позволяло сохранять контроль над аккаунтом.

Отдельный модуль вмешивался в работу защитных механизмов ВК, изменяя cookie remixsec_redir, что позволяло выполнять действия от имени пользователя, имитируя их легитимность. Также код отслеживал статус подписки VK Donut, адаптируя поведение расширения в зависимости от её наличия, что добавляло элемент монетизации.

В результате расследования удалось выявить ещё четыре связанных расширения общей сложностью около 502 тысяч установок. Два из них уже удалены из Chrome Web Store. Главная опасность кампании заключалась в её гибкости: поскольку логика вредоносного ПО загружалась динамически через профиль VK и GitHub, злоумышленник мог менять поведение расширения без его обновления в магазине. Автоматическое обновление Chrome-расширений при этом обеспечивало быстрое распространение новых вредоносных инструкций на сотни тысяч устройств.