Останніми днями було викрито одну з найскладніших та найтривожніших кіберзлочинних кампаній, пов'язаних з використанням розширень браузера. Такі як Google Chrome та Microsoft Edge. Мільйони користувачів зазнали порушення цифрової конфіденційності, майже без видимих доказів, через довіру, що виникла завдяки таким популярним інструментам.
Проблема, згідно з різними звітами спеціалізованих фірм, таких як Koi Security та Kaspersky, полягає в близько десятка, здавалося б, нешкідливих розширень Після встановлення та коректної роботи протягом місяців (або навіть років) вони ставали інструментами для стеження та вилучення браузера за допомогою автоматичних оновлень. І все це без необхідності будь-яких дій від користувача та його суттєвих змін у його онлайн-досвіді.
Від корисного до небезпечного: як створювалася загроза
Обман почався з реальних та функціональних розширень, яка пропонувала корисні послуги, такі як вибір кольору на екрані, клавіатури з емодзі, прогнози погоди, підсилювачі гучності, контролери швидкості відео або VPN. Все здавалося в порядкуРозширення були перевірені, мали сотні позитивних відгуків і навіть були представлені в магазинах Chrome та Edge.
Справді геніальна річ у цій кампанії, яка називається Червоний напрямок, полягало в тому, щоб скористатися здобутою довірою, щоб у певний момент звільнити оновлення, яке включало шкідливий кодТаким чином, розширення почало працювати у фоновому режимі, контролюючи всі відвідані сторінки, зберігаючи унікальні ідентифікатори та надсилаючи інформацію на зовнішні сервери, контрольовані зловмисниками. Жодних попереджень, спливаючих вікон, очевидних помилок, а основна функціональність, очевидно, залишилася недоторканою.
Розширення та ступінь інфекції
Дослідження показують, що принаймні 18 розширень для Chrome та Edge взяли участь у цій кампанії, об'єднавши зусилля перевищує 2,3 мільйона завантажень у всьому світі. Деякі з найбільш визнаних:
- Палітра кольорів, Піпетка — Gecko colorpick
- Клавіатура емодзі онлайн — скопіюйте та вставте свій емодзі
- Безкоштовний прогноз погоди
- Контролер швидкості відео — Менеджер відео
- Розблокувати Discord — VPN-проксі для розблокування Discord будь-де
- Темна тема — Темний читач для Chrome
- Максимум гучності — найкращий підсилювач звуку
- Розблокуйте TikTok — безперешкодний доступ за допомогою проксі-сервера в один клік
- Розблокуйте VPN YouTube
- погода
Метод атаки полягав у використанні API chrome.webRequest, легітимний інтерфейс для певних функцій, але який шкідливий код використовував для шпигування за кожною новою вкладкою користувача та мережевим запитом. Крім того, згідно з інструкціями, отриманими від командної інфраструктури зловмисників, Розширення може перенаправляти навігацію на шахрайські сторінки, як-от клоновані банківські сайти або платформи для відеодзвінків, з метою викрадення облікових даних або встановлення додаткового шкідливого програмного забезпечення.
Чому їх було так важко виявити?
Один з найбільш тривожних аспектів полягає в тому, що Ці розширення не були шкідливими у своєму початковому випускуВони вже давно довели свою коректну роботу, отримавши позитивні відгуки та визнання в офіційних магазинах. Зміна відбулася лише з тихим оновленням, яке автоматично застосовувалося до всіх користувачів і перетворювало корисний інструмент на бекдор для кібершпигунства.
Навіть звичайні механізми захисту Chrome та Edge, такі як перевірка та моніторинг відгуків, не змогли запобігти атаці. Деякі скомпрометовані розширення все ще були позначені як безпечні або зірочкою коли вони вже були активною частиною кампанії RedDirection, яка розширила охоплення та довіру нових користувачів.
Наслідки: викрадення браузера та дані
Дослідники наголошують, що найнебезпечнішим аспектом атаки є її здатність стежте за активністю перегляду в режимі реального часу, записувати всі відвідані URL-адреси та, якщо це наказано зловмисниками, перенаправляти користувача на веб-сайти, призначені для крадіжки особистої інформації або облікових данихВони можуть навіть перехоплювати банківські сесії або «запропонувати» вам завантажити нібито критичні оновлення з додатковим шкідливим програмним забезпеченням. Таке тихе захоплення браузера перетворює розширення на складний шпигунський інструмент, тип «людини посередині», який ледве залишає помітний слід.
Один із прикладів показує, як користувач, який намагається увійти до свого онлайн-банку або приєднатися до відеодзвінка Zoom, може бути перенаправлений на сторінку, ідентичну справжній, де він вводить свої дані, вважаючи сеанс легітимним.
Тим, у кого встановлено будь-яке з цих розширень, найкраще негайно видалити та виконайте низку кроків для забезпечення безпеки вашого комп’ютера та особистої інформації.
Що робити, якщо у вас є будь-яке з цих розширень
Основна рекомендація експертів є Якомога швидше видаліть будь-яке розширення, включене до списків, опублікованих Koi Security., як у Chrome, так і в Microsoft Edge. Також обов’язково перевірте налаштування безпеки вашого браузера та встановлені розширення, щоб захистити його від шкідливі розширення.
- Видалення даних про переглянуті щоб усунути сліди та можливі ідентифікатори, згенеровані шкідливим програмним забезпеченням.
- Ретельно перевірте свій комп'ютер надійним антивірусом щоб виключити додаткові інфекції.
- Переглядайте активність на банківських рахунках, електронних листах та в конфіденційних сервісах від можливого несанкціонованого доступу.
- Будьте вкрай обережні під час встановлення нових розширень, завжди перевіряючи походження, запитувані дозволи та уникаючи тих, що мають загальні назви або дивовижні обіцянки.
Важливо періодично перевіряти список встановлених доповнень та зберігати здорову недовіру навіть до розширень з гарною репутацією, оскільки загроза може з'явитися в будь-якому оновленні та залишатися непоміченою протягом місяців.
Ця справа кампанії RedDirection підкреслила вразливість систем перевірки у сховищах розширень та важливість постійного перегляду того, що ми встановили у своїх браузерах. Єдиний спосіб ефективно захистити себе у дедалі складнішому середовищі — це бути обережним, слідкувати за сповіщеннями спільноти кібербезпеки та бути в курсі останніх загроз.
