Избираш цвят на сайта, а получаваш шпионин в браузъра
Всичко, което сте правили онлайн – направления, пароли, преписка – в този момент е при тези, които са скрити под иконката на капкомер.
На пръв взор – нормално уголемение за браузъра. Приятен интерфейс, ясна функционалност за избор на цветове от екрана, висок рейтинг, доста позитивни мнения. Но зад тази безобидна обвивка се спотайва комплициран троянски кон, който вгражда скрити механизми за следене в браузърите на потребителите. Аналитиците от Koi Security откриха, че известната добавка Color Picker, Eyedropper – Geco colorpick, конфигурирана в Chrome и Edge, е била част от огромна злонамерена интервенция, наречена RedDirection.
Добавката Geco colorpick е била изтеглена от над 100 000 души. Тя има отлична известност с рейтинг 4,2, над 800 отзива, оценка „ предложено “ в уеб магазина на Chrome и сходен статус в разширенията за Microsoft Edge. Но вместо декларираната функционалност, добавката е дала на атакуващите достъп до дейностите на потребителите, препращала е данни към далечен сървър и е можела да пренасочва трафика посредством външна команда.
Създаденият инструмент в действителност е изпълнявал декларираната задача: той е давал опция да се дефинира оттенъкът от всяка част от страницата и да се резервира в клипборда. Това е комфортно за дизайнерите, експертите по оформлението, илюстраторите. Но зад работната функционалност стояла напълно друга цел.
При това Color Picker не е бил единствено един. Изследователите идентифицираха 18 модула – за Chrome и Edge – с сходно прикрито държание. Общият брой на инфектираните браузъри надвиши 2,3 милиона – една от най-големите акции от този тип, регистрирани в миналото.
Според анализатора на Koi Security Идан Дардикман RedDirection напълно не наподобява на любителска разработка. Това е многостранна, професионално проведена интервенция. В ранните стадии разширенията са се държали безупречно – работели са по предопределение и не са предизвиквали съмнения. Едва след няколко цикъла на актуализации в тях е бил въведен злотворен код. Благодарение на функционалностите за автоматизирано зареждане на Chrome и Edge сменените версии са били конфигурирани неусетно – автоматизирано и без присъединяване на притежателя на устройството.
По този метод милиони хора станаха жертви без машинация или фишинг, без подозрителни имейли или злонамерени атачмънти. Вграденият модул събира информация за посетените страници, улавя неповторимите идентификатори и ги изпраща на сървър, следен от хакерите. Освен това злонамереният програмен продукт е можел да отваря избрани уеб сайтове във фонов режим – изцяло без да се преценява с волята на потребителя. Тази функционалност се е употребила за реклами, замяна на страници и доставка на други закани.
Кампанията не се лимитира единствено до съвпадане на цветовете. Списъкът на участващите допълнения включва помощни стратегии за прогнозиране на времето, ускорение на видео, заобикаляне на блокирането на VPN, увеличение на силата на звука, проникване на емотикони и даже интеграция с ChatGPT. Всички те в действителност действаха, както е декларирано – точно това им е помогнало да избегнат ранното разкриване.
Разширенията, включени в RedDirection:
Chrome:
Emoji keyboard online — copy&past your emoji Free Weather Forecast Video Speed Controller — Video manager Unlock Discord — VPN Proxy Dark Theme — Dark Reader for Chrome Volume Max — Ultimate Sound Booster Unblock TikTok — Seamless Access Unlock YouTube VPN Color Picker, Eyedropper — Geco colorpick WeatherEdge:
Unlock TikTok Volume Booster — Increase your sound Web Sound Equalizer Header Value Flash Player — games emulator Youtube Unblocked SearchGPT — ChatGPT for Search Engine Unlock DiscordСпоред Дардикман триумфът на RedDirection значително се дължи на обстоятелството, че заразяването е станало посредством актуализации на приставки (разширения), които към този момент са били тествани. Някои от тях даже са получили знака Verified – автоматизиран знак за доверие от Гугъл, който се присъжда въз основа на известността. Все още нито Гугъл, нито Microsoft са коментирали обстановката. Междувременно всички упоменати модули към момента са налични за инсталиране.
Koi Security настоятелно предлага неотложно унищожаване на изброените добавки/разширения, ръчно изчистване на кеша, бисквитките и локалното вместилище и деликатно наблюдаване на интензивността в онлайн сметките. Някои детайли на зловредния програмен продукт могат да се запазят даже след премахването, тъй че елементарното деинсталиране не подсигурява сигурността.
Докато магазините не стартират да ревизират деликатно всяка версия на разширенията – в това число актуализациите – този тип офанзиви ще се повтарят. Всеки прочут инструмент може да се окаже троянски кон. Проблемът със злонамерените добавки към този момент не е местна история, а систематичен риск.
