Группа исследователей безопасности Koi Security выявила набор из 18 вредоносных браузерных расширений, которые всё ещё доступны для загрузки в Google Chrome и Microsoft Edge.

Эти расширения маскируются под инструменты для повышения производительности и развлечений, относящиеся к различным категориям, включая клавиатуры с эмодзи, прогнозы погоды, регуляторы скорости видео, VPN-прокси для Discord и TikTok, «тёмные» темы, усилители громкости и разблокировщики YouTube.

Все они предлагают функциональный сервис, но при этом скрытно реализуют возможности слежки за браузером и перехвата данных. На сегодняшний день ими заражено более 2,3 млн пользователей. Некоторые из этих расширений были проверены Google и Microsoft или были представлены в Chrome Web Store или Edge Add-ons Store.

Хотя каждое работает со своим собственным поддоменом управления и контроля, создавая видимость работы отдельных операторов, исследователи обнаружили, что все 18 расширений являются частью одной централизованной инфраструктуры атак.

Кампания получила название RedDirection, и Koi Security поделилась своими выводами в отчёте от 8 июля в Medium. Чтобы избежать блокировки фильтрами безопасности Google и Microsoft, элементы RedDirection изначально создавались как чистые расширения, а затем в последующих версиях обновлялись вредоносным ПО, которое устанавливалось автоматически, без участия пользователя — иногда спустя годы после выхода первой версии.

Вредоносный код, добавленный в расширения, позволяет хакеру перехватывать URL-адреса страниц, которые посещают пользователи, отправлять их на удалённый сервер вместе с уникальными идентификаторами отслеживания пользователей, получать потенциальные URL-адреса перенаправления с сервера командного управления, автоматически перенаправлять браузер по команде. Эта кампания «прекрасно демонстрирует, как изощрённые злоумышленники используют сигналы доверия, на которые мы полагаемся», — написал в отчёте эксперт Koi Security Идан Дардикман.

Он порекомендовал пользователям Chrome и Edge, у которых установлено одно из 18 вредоносных расширений, немедленно удалить их, очистить данные браузера, чтобы удалить сохранённые идентификаторы отслеживания, запустить полное сканирование системы на наличие вредоносных программ для выявления других заражений и отслеживать свои учётные записи на предмет любой подозрительной активности при посещении конфиденциальных сайтов.

 

Усам Оздемиров

11 июля, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.08.2025
Число «биотранзакций» в России выросло в 11 раз год к году
29.08.2025
МФО вводят ещё одну ступень верификации заёмщиков
29.08.2025
Anthropic: Развитие ИИ снизило порог вхождения в киберпреступность
29.08.2025
На российский телеком движется долгая новогодняя ночь, а Max заходит в школы
29.08.2025
CISA изменит минимальные требования к поставщикам ПО эпохи Байдена
28.08.2025
Безопасники из ESET нашли прототип ИИ-вируса, пишущего скрипты
28.08.2025
«Гуглы» ужесточают требования к публикации Android-приложений
28.08.2025
Servicepipe реорганизует техподдержку и создаёт Инженерный центр реагирования на сетевые и веб-угрозы
28.08.2025
«Яндекс» получил более сорока штрафов за непредоставление ФСБ доступа к своим сервисам
28.08.2025
CIISec: Большинство безопасников хочет более строгих правил

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных