
Группа исследователей безопасности Koi Security выявила набор из 18 вредоносных браузерных расширений, которые всё ещё доступны для загрузки в Google Chrome и Microsoft Edge.
Эти расширения маскируются под инструменты для повышения производительности и развлечений, относящиеся к различным категориям, включая клавиатуры с эмодзи, прогнозы погоды, регуляторы скорости видео, VPN-прокси для Discord и TikTok, «тёмные» темы, усилители громкости и разблокировщики YouTube.
Все они предлагают функциональный сервис, но при этом скрытно реализуют возможности слежки за браузером и перехвата данных. На сегодняшний день ими заражено более 2,3 млн пользователей. Некоторые из этих расширений были проверены Google и Microsoft или были представлены в Chrome Web Store или Edge Add-ons Store.
Хотя каждое работает со своим собственным поддоменом управления и контроля, создавая видимость работы отдельных операторов, исследователи обнаружили, что все 18 расширений являются частью одной централизованной инфраструктуры атак.
Кампания получила название RedDirection, и Koi Security поделилась своими выводами в отчёте от 8 июля в Medium. Чтобы избежать блокировки фильтрами безопасности Google и Microsoft, элементы RedDirection изначально создавались как чистые расширения, а затем в последующих версиях обновлялись вредоносным ПО, которое устанавливалось автоматически, без участия пользователя — иногда спустя годы после выхода первой версии.
Вредоносный код, добавленный в расширения, позволяет хакеру перехватывать URL-адреса страниц, которые посещают пользователи, отправлять их на удалённый сервер вместе с уникальными идентификаторами отслеживания пользователей, получать потенциальные URL-адреса перенаправления с сервера командного управления, автоматически перенаправлять браузер по команде. Эта кампания «прекрасно демонстрирует, как изощрённые злоумышленники используют сигналы доверия, на которые мы полагаемся», — написал в отчёте эксперт Koi Security Идан Дардикман.
Он порекомендовал пользователям Chrome и Edge, у которых установлено одно из 18 вредоносных расширений, немедленно удалить их, очистить данные браузера, чтобы удалить сохранённые идентификаторы отслеживания, запустить полное сканирование системы на наличие вредоносных программ для выявления других заражений и отслеживать свои учётные записи на предмет любой подозрительной активности при посещении конфиденциальных сайтов.
Усам Оздемиров