Расширение для Chrome (со значком верификации) и Edge, которое было загружено более 100 тыс. раз, на первый взгляд ничем не отличается от простой цветовой пипетки. Однако, по словам исследователей из компании Koi Security, у расширения есть второе дно: оно отслеживает действия пользователя на сайтах, перехватывает каждый сеанс браузера и используется как бэкдор.
Эксперты считают, что это не какая-то простенькая программка, «слепленная на коленке», а самый настоящий троянский конь. Инструмент для выбора цвета позволяет пользователям выбирать любой цвет на сайте и копировать его в буфер обмена для последующего использования. Например, это нужно при разработке приложений и сайтов или при создании баннеров.
Одно расширение с безобидным функционалом — это только верхушка айсберга. Оно является частью более масштабной кампании по взлому браузеров, которая получила название RedDirection. Кампания состоит из 18 вредоносных расширений, загруженных в магазины Chrome и Edge.
В сумме все они были установлены пользователями более 2,3 миллионов раз. Эксперты называют эту вредоносную кампанию одной из самых крупнейших мошеннических операций по перехвату браузеров, с которой они когда-либо сталкивались.
Киберпреступники разработали расширения для самых разных целей: поддержка эмодзи в браузере, прогноз погоды, регулятор скорости видео, VPN-прокси для Discord и TikTok, темная тема для интерфейса, увеличение громкости и разблокировка YouTube.
Но, по словам экспертов, в дополнение к предоставлению видимых функций, вредоносы тайно отслеживают интернет-активность пользователей, перехватывают URL-адреса, отправляют эту информацию на удаленный сервер вместе с уникальным идентификатором отслеживания и используют редиректы.
Согласно исследованию, проведенному специалистами компании, изначально расширение не содержало вредоносный код и использовалось по своему прямому назначению. Однако оно содержало бэкдор, через который внедрялся вредонос во время очередного автоматического обновления версии.
Если вы установили одно из перечисленных ниже расширений, удалите его сейчас, очистите данные браузера и следите за учетными записями на предмет любой подозрительной активности.
Вот полный список из 18 расширений, среди которых: Emoji keyboard online — copy&past your emoji, Free Weather Forecast, Color Picker, Eyedropper — Geco colorpick и другие.
В Microsoft сообщили, что уже удалили эти расширения из своего маркетплейса.
Киберпреступникам регулярно удается загружать вредоносные продукты в веб-магазины. Например, недавно мы рассказывали о восьми вредоносных расширениях, обнаруженных в Firefox. Они были предназначены для кражи трафика, шпионажа и фрода на партнерках.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
