2,3 миллиона пользователей заражены проверенными расширениями Chrome и Edge

Основное нарушение безопасности браузеров подвергло риску более 2,3 миллионов пользователей, подвергая их воздействию вредоносного ПО через проверенные расширения Chrome и Edge, которые казались безопасными.

Согласно исследованию от Koi Security, 18 расширений в ходе кампании, получившей название RedDirection, тайно захватывали браузеры, отслеживали действия пользователей и позволяли проводить дополнительные атаки через доверенные интерфейсы.

Основным расширением, ответственным за нарушение безопасности, было «Color Picker, Eyedropper — Geco colorpick». Расширение выполняло свою обещанную функциональность, предоставляя полноценную функцию выбора цвета. Расширение работало как инструмент выбора цвета, но оно тайно отслеживало все сайты, которые посещали пользователи, передавало данные URL на серверы управления и контроля, и перенаправляло пользователей на поддельные сайты.

«Это не какое-то очевидное мошенническое расширение, собранное за выходные», — написали исследователи.

«Это тщательно разработанный троянский конь, который точно выполняет то, что обещает (работоспособный выбор цвета), одновременно захватывая ваш браузер, отслеживая каждый сайт, который вы посещаете, и поддерживая постоянный обратный канал для команд и контроля. Более того, он оставался легитимным в течение многих лет, прежде чем стать вредоносным через обновление версии», — отметили исследователи.

Действительно, исследователи объясняют, что эти расширения были безопасными на протяжении многих лет, прежде чем в них был добавлен вредоносный код через тихие обновления версий, шаг, который использовал системы доверия Google и Microsoft, включая значки верификации и рекомендуемые размещения.

«Это не просто очередное обнаружение вредоносного ПО,» — сказали исследователи. «Это доказательство того, что текущая модель безопасности рынка коренным образом нарушена,» — добавила исследовательская группа.

Кампания RedDirection включала в себя популярные расширения, которые функционировали как клавиатуры для эмодзи, контроллеры скорости видео, VPN-прокси и темные темы, которые появлялись и работали как стандартные инструменты. Эти расширения работали как единая сеть через их идентичные структуры вредоносного ПО и командные серверы, чтобы украсть логины, банковскую информацию и установить дополнительное вредоносное ПО.

Koi Security советует пользователям удалять недоверенные расширения, в то время как выполняется очистка данных браузера, сканирование на наличие вредоносного ПО и мониторинг аккаунтов. Это открытие вызывает сомнения по поводу процесса верификации расширений Chrome и Edge, а также способности пользователей доверять установленным расширениям.

«Это катастрофа в цепочке поставок», — предупреждают исследователи.