Группа исследователей безопасности Koi Security выявила набор из 18 вредоносных браузерных расширений, которые всё ещё доступны для загрузки в Google Chrome и Microsoft Edge.

Эти расширения маскируются под инструменты для повышения производительности и развлечений, относящиеся к различным категориям, включая клавиатуры с эмодзи, прогнозы погоды, регуляторы скорости видео, VPN-прокси для Discord и TikTok, «тёмные» темы, усилители громкости и разблокировщики YouTube.

Все они предлагают функциональный сервис, но при этом скрытно реализуют возможности слежки за браузером и перехвата данных. На сегодняшний день ими заражено более 2,3 млн пользователей. Некоторые из этих расширений были проверены Google и Microsoft или были представлены в Chrome Web Store или Edge Add-ons Store.

Хотя каждое работает со своим собственным поддоменом управления и контроля, создавая видимость работы отдельных операторов, исследователи обнаружили, что все 18 расширений являются частью одной централизованной инфраструктуры атак.

Кампания получила название RedDirection, и Koi Security поделилась своими выводами в отчёте от 8 июля в Medium. Чтобы избежать блокировки фильтрами безопасности Google и Microsoft, элементы RedDirection изначально создавались как чистые расширения, а затем в последующих версиях обновлялись вредоносным ПО, которое устанавливалось автоматически, без участия пользователя — иногда спустя годы после выхода первой версии.

Вредоносный код, добавленный в расширения, позволяет хакеру перехватывать URL-адреса страниц, которые посещают пользователи, отправлять их на удалённый сервер вместе с уникальными идентификаторами отслеживания пользователей, получать потенциальные URL-адреса перенаправления с сервера командного управления, автоматически перенаправлять браузер по команде. Эта кампания «прекрасно демонстрирует, как изощрённые злоумышленники используют сигналы доверия, на которые мы полагаемся», — написал в отчёте эксперт Koi Security Идан Дардикман.

Он порекомендовал пользователям Chrome и Edge, у которых установлено одно из 18 вредоносных расширений, немедленно удалить их, очистить данные браузера, чтобы удалить сохранённые идентификаторы отслеживания, запустить полное сканирование системы на наличие вредоносных программ для выявления других заражений и отслеживать свои учётные записи на предмет любой подозрительной активности при посещении конфиденциальных сайтов.

 

Усам Оздемиров

11 июля, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.07.2025
ИБ-платформа Security Vision вошла в реестр ГосСОПКА
15.07.2025
«ИИ попросту не может заменить ценную человеческую экспертизу»
15.07.2025
Кибермошенники вовсю используют авиаповестку
15.07.2025
К национальному мессенджеру — национальный скам-фильтр?
15.07.2025
Positive Technologies провели ремонт своей «Хакбазы»
14.07.2025
19% предприятий запустило системную автоматизацию после 2022 года
14.07.2025
Только 6% осужденных по ИКТ-статьям получает реальный срок
14.07.2025
LLM-система МТС экономит «десятки миллионов рублей»
14.07.2025
Решения Servicepipe позволят Innostage комплексно защитить клиентов от DDoS, ботов и других автоматизированных L3-L7 атак
14.07.2025
PT: ИБ-игроки должны научиться дополнять друг друга

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных