2,3 миллиона установок: 18 расширений для Chrome и Edge содержали вредоносный код

Что случится, если в магазинах расширений Chrome и Edge появятся 18 вредоносных дополнений? Начнется настоящий хаос. Koi Security выяснили, как это произошло, и выпустили отчет.

Обычно вредоносные расширения — это плохо сделанные пустышки. Но не в этом случае. Все обнаруженные дополнения исправно выполняли заявленные функции — например, расширение для выбора цвета действительно работало как пипетка. Однако одновременно с этим они являлись троянами: перехватывали управление браузером, шпионили за пользователями и открывали хакерам «черный ход». Некоторые из этих расширений были безвредными годами, прежде чем получили вредоносное обновление.

Koi начали расследование с расширения Color Picker, Eyedropper — Geco colorpick и выяснили, что оно — лишь одно из многих вредоносных. По словам исследователей, это была скоординированная атака под названием RedDirection. Злоумышленники разместили 18 продуманных вредоносных расширений в магазинах Chrome и Edge, чтобы перехватывать управление браузером. В результате пострадали 2,3 миллиона пользователей.

Расширения маскировались под VPN, инструменты для YouTube, прогноза погоды и т. д. Некоторые из них даже получили статус «проверенного» или «рекомендуемого» расширения. Каждое использовало свой поддомен командного центра, чтобы скрыть единую инфраструктуру управления.

Расширение активировалось при каждом переходе на новую страницу, фоновая служба отслеживала все действия в браузере. Адрес страницы передавался на удаленный сервер вместе с уникальным идентификатором пользователя, и в ответ приходил URL для возможной переадресации. Браузер мог автоматически перенаправить пользователя на вредоносный сайт — без кликов и фишинга.

Список вредоносных расширений и их идентификаторы:

Chrome:

• Emoji keyboard online — copy&past your emoji — kgmeffmlnkfnjpgmdndccklfigfhajen
• Free Weather Forecast — dpdibkjjgbaadnnjhkmmnenkmbnhpobj
• Video Speed Controller — Video manager — gaiceihehajjahakcglkhmdbbdclbnlf
• Unlock Discord — VPN Proxy — mlgbkfnjdmaoldgagamcnommbbnhfnhf
• Dark Theme — Dark Reader — eckokfcjbjbgjifpcbdmengnabecdakp
• Volume Max — Sound Booster — mgbhdehiapbjamfgekfpebmhmnmcmemg
• Unblock TikTok — cbajickflblmpjodnjoldpiicfmecmif
• Unlock YouTube VPN — pdbfcnhlobhoahcamoefbfodpmklgmjm
• Color Picker, Eyedropper — eokjikchkppnkdipbiggnmlkahcdkikp
• Weather — ihbiedpeaicgipncdnnkikeehnjiddck

Edge:

• Unlock TikTok — jjdajogomggcjifnjgkpghcijgkbcjdi
• Volume Booster — mmcnmppeeghenglmidpmjkaiamcacmgm
• Web Sound Equalizer — ojdkklpgpacpicaobnhankbalkkgaafp
• Header Value — lodeighbngipjjedfelnboplhgediclp
• Flash Player — games emulator — hkjagicdaogfgdifaklcgajmgefjllmd
• Youtube Unblocked — gflkbgebojohihfnnplhbdakoipdbpdm
• SearchGPT — ChatGPT for Search Engine — kpilmncnoafddjpnbhepaiilgkdcieaf
• Unlock Discord — caibdnkmpnjhjdfnomfhijhmebigcelo

Ни в коем случае не устанавливайте эти расширения, если вдруг обнаружите их в магазинах Chrome или Edge. Да, некоторые из них все еще доступны онлайн. Часть уже удалена — вероятно, сейчас они проходят проверку. В отчете приведен список связанных доменов, но он не публикуется здесь из соображений безопасности

Koi раскритиковали Google и Microsoft за плохую модерацию: злоумышленники сначала загружали «чистые» версии, дожидались одобрения, а затем обновляли расширение с вредоносным кодом. Также они предупредили, что такие расширения могут предлагать фальшивое обновление Zoom и захватывать управление над ПК. Или же перенаправить пользователя на поддельный сайт банка с целью кражи данных.

Chrome недавно получил патч для очередной уязвимости «нулевого дня»  — уже четвертой за этот год. Эксперты призывают пользователей не полагаться на количество установок, рейтинг или значки доверия. Учитывая, что Chrome и Edge развиваются крупнейшими технологическими компаниями, стоит задуматься: может, пора вкладывать больше усилий в безопасность, а не только в ИИ.