Стефанія А. Автор Стефанія А.
Новини 26 Червня 2026 5 хв читання

Chrome Native Messaging бекдор краде session cookies

D3Lab описала Chrome Native Messaging бекдор, який краде session cookies і запускає PowerShell. Перевірте індикатори, cleanup і сесії.

Chrome Native Messaging бекдор витягує cookie сесій із браузера через міст до Windows.

Дослідники D3Lab описали кампанію червня 2026 року в Італії, де фейковий лист з інвойсом встановлював шкідливе розширення Google Chrome і Native Messaging Host у Windows. Практичний ризик полягає не лише у стеженні за браузером: розширення Cloud vn105rkj64, за даними аналізу, могло передавати команди через Native Messaging і запускати PowerShell поза звичайною пісочницею Chrome.[1]

Зафіксований ID розширення: gghagmhimhgfeajfdmjkgmmehbokmglg. D3Lab повідомляє, що перший обмін із контролером включав Google cookie, відкриті вкладки та URL, user-agent, мовні налаштування і стабільний ідентифікатор жертви. Тому це історія про ризик сесій так само, як і про шкідливе розширення: зміни пароля може бути недостатньо, якщо викрадена cookie або активна сесія ще діє.[1]

Що сталося

Ланцюжок починався з італійського листа про інвойс. Користувач бачив начебто PDF-документ, але фактичним завантаженням був обфускований Windows JavaScript-файл Fattura-2819889242.pfd.js. Останнє розширення має значення: Windows сприймає фінальний суфікс .js як виконуваний скрипт.

Ілюстративний італійський лист з інвойсом і вкладенням Fattura pfd.js, позначеним як не PDF.
Безпечний ілюстративний приклад інвойс-приманки: вкладення виглядає як документ, але назва завершується на .pfd.js, а не на .pdf.

Після запуску malware використало підписаний застосунок, пов’язаний з Epic Games, для side-loading шкідливої d3d11.dll з %TEMP%. DLL запускала прихований PowerShell, готувала розширення Chrome і змінювала політики Chrome так, щоб встановлення виглядало як кероване адміністратором, а не як звичайне користувацьке розширення.

Чому Native Messaging змінює ризик

Розширення Chrome можуть мати широкі браузерні дозволи, але вони зазвичай не можуть запускати довільні програми Windows. Native Messaging — це легітимний механізм Chrome, який дозволяє встановленій локальній програмі обмінюватися повідомленнями з розширенням.[2] Менеджери паролів і корпоративні інструменти використовують його законно, але malware може зловживати цим мостом, якщо контролює і розширення, і локальний host.

У цій кампанії D3Lab зафіксувала звернення розширення до ext2[.]info і Native Messaging реєстрацію на кшталт HKCU\Software\Google\Chrome\NativeMessagingHosts\com.vn105rkj64.tr7qprrt7g. Native Messaging Host дав браузерному коду шлях до запуску команд ОС. D3Lab також повідомляє про результат команди з переліком директорії C:\, що вказує на remote-command backdoor, а не лише пасивну крадіжку даних.[1]

Ключові індикатори

  • Fattura-2819889242.pfd.js — фейковий інвойс; фінальний .js запускає скрипт у Windows.
  • Cloud vn105rkj64 — назва шкідливого розширення Chrome з аналізу D3Lab.
  • gghagmhimhgfeajfdmjkgmmehbokmglg — ID розширення Chrome, пов’язаний з Native Messaging origin.
  • ext2[.]info — домен керування, про який повідомили дослідники.
  • HKCU\Software\Google\Chrome\NativeMessagingHosts\com.vn105rkj64.tr7qprrt7g — користувацька реєстрація Native Messaging Host.
  • HKCU\Software\Policies\Google\Chrome\ExtensionInstallAllowlist — зона політик Chrome, яка має бути підозрілою на некерованому домашньому ПК.

Що перевірити у Windows

  1. Не відкривайте і не відновлюйте файл інвойсу. Збережіть оригінальну назву файлу та заголовки листа, якщо потрібно повідомити про інцидент.
  2. У Chrome перевірте розширення і видаліть усе з назвою Cloud vn105rkj64 або невідоме розширення, яке позначене як кероване політикою.
  3. Перевірте, чи Chrome несподівано не став керованим. На особистому ПК невідомі записи в ExtensionInstallAllowlist, ExtensionInstallSources або NativeMessagingHosts потребують розслідування. Загальні ризики розширень описані в нашому матеріалі про небезпеку безкоштовних розширень браузера.
  4. Шукайте нещодавній прихований PowerShell, csc.exe або незвичні файли в %TEMP%, особливо d3d11.dll поруч із неочікуваним підписаним EXE.
  5. Вийдіть з уражених Google-сесій, відкличте підозрілі connected apps і змініть паролі з чистого пристрою. MITRE описує крадіжку web session cookie як техніку доступу до облікових даних, бо cookie може дозволити діяти як залогінений користувач без пароля.[4]
  6. Якщо фейковий інвойс запускався, проскануйте ПК перед тим, як знову довіряти браузеру. Видалення видимого розширення не доводить, що Native Messaging Host, політики, завдання або loader-файли зникли.

Для локального очищення запустіть повне сканування Gridinsoft Anti-Malware після виходу з підозрілих браузерних сесій. Мета — знайти завантажений скрипт, side-loaded DLL, приховані записи автозапуску або завдань, небажані політики Chrome і будь-який companion loader, який може повернути розширення.

Запустіть повне сканування Gridinsoft Anti-Malware, якщо фейковий інвойс відкривався або у Chrome з’явилося невідоме розширення. Перевірка має знайти не лише видиме розширення, а й loader-файли, політики Chrome, автозапуск і Native Messaging Host.

Як зменшити ризик повторення

  • Увімкніть показ розширень файлів у Windows Explorer, щоб .pfd.js, .pdf.exe і схожі трюки були видимі.
  • Ставтеся до неочікуваних інвойсів як до executable-risk файлів, доки відправник і портал документів не перевірені окремо.
  • Перевіряйте розширення браузера за видавцем, дозволами і джерелом встановлення.
  • Після stealer-подібного зараження ставтеся до browser cookies як до облікових даних: завершуйте сесії, відкликайте додатки і змінюйте паролі з чистого пристрою.

FAQ

Cloud vn105rkj64 — це нормальне розширення Chrome?

Ні. У звіті D3Lab Cloud vn105rkj64 — це шкідливе розширення з malware-ланцюжка. Назва або ID gghagmhimhgfeajfdmjkgmmehbokmglg мають розглядатися як індикатори інциденту.

Чи може розширення Chrome запускати PowerShell?

Саме по собі — ні. Ризик створює Native Messaging Host. Коли локальний host зареєстрований і дозволений для розширення, Chrome може запустити його та обмінюватися повідомленнями, що malware перетворює на командний міст.

Чи потрібно міняти паролі?

Так, якщо файл запускався або розширення з’явилося в Chrome. Міняйте паролі з чистого пристрою, виходьте з активних сесій і відкликайте підозрілі connected apps, бо stolen session cookies можуть зберігати доступ після зміни пароля.

Джерела

  1. Andrea Draghetti, D3Lab. “Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy.” D3Lab, 22 червня 2026, переглянуто 26 червня 2026. D3Lab report
  2. Google Chrome Developers. “Native Messaging.” Chrome for Developers, переглянуто 26 червня 2026. Chrome Native Messaging documentation
  3. Chrome Enterprise and Education Help. “ExtensionInstallForcelist policy.” Google Help, переглянуто 26 червня 2026. Chrome policy documentation
  4. MITRE ATT&CK. “Steal Web Session Cookie: T1539.” MITRE, переглянуто 26 червня 2026. MITRE T1539 page
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.