Un nou raport de securitate informatică scoate la iveală o campanie de amploare fără precedent în ecosistemele browserelor Chrome și Edge.
Potrivit experților de la Koi Security, nu mai puțin de 18 extensii disponibile în magazinele oficiale Google și Microsoft au fost utilizate pentru a deturna sesiunile de navigare ale utilizatorilor, colectând date sensibile și trimițându-le către servere controlate de atacatori.
Mai bine de 2,3 milioane de utilizatori sunt afectați în Chrome și Edge
În total, peste 2,3 milioane de utilizatori au fost afectați de această campanie, denumită RedDirection, scrie publicația The Register.
Printre extensiile implicate se numără unele cu funcționalități aparent legitime și utile: selecție de culori, controlul vitezei de redare video, tastaturi emoji, VPN-uri pentru Discord și TikTok, teme întunecate, amplificatoare de volum și chiar instrumente pentru deblocarea YouTube în rețele restricționate.
Una dintre cele mai populare este „Color Picker” de la Geco, care afișează badge-ul „verificat” de Google, are peste 800 de recenzii pozitive și o notă de 4.2 din 5 stele în Chrome Web Store. În magazinul Edge Add-ons, extensia este de asemenea bine cotată.
Potrivit lui Idan Dardikman, cercetător Koi Security, aceste extensii nu au fost periculoase de la început. Codul sursă a fost inițial curat, iar în unele cazuri a rămas așa timp de ani de zile.
Apoi, în timpul actualizărilor automate, care nu necesită nicio acțiune din partea utilizatorului, au fost introduse modificări malițioase.
Ce face RedDirection și de ce este atât de greu de detectat
Odată infectat, browserul victimei devine un instrument de supraveghere digitală: extensia interceptează URL-urile vizitate, le corelează cu un identificator unic atribuit fiecărui utilizator și transmite aceste informații către o infrastructură aflată sub controlul atacatorilor.
Mai mult, extensiile pot redirecționa automat utilizatorii către alte site-uri, în funcție de comenzile primite de la serverul central.
Faptul că extensiile au funcționalități utile și oferă o experiență legitimă le-a permis să treacă neobservate pentru mult timp. În plus, badge-ul „verificat” oferit de Google le-a conferit un fals sentiment de siguranță în ochii utilizatorilor.
Ceea ce face acest atac deosebit de eficient este modul în care a fost implementat: utilizatorii nu au fost nevoiți să dea clic pe nimic sau să autorizeze instalarea vreunei funcționalități dubioase. Totul s-a produs în fundal, prin actualizări automate, profitând de politicile existente în ecosistemele Chrome și Edge.
Recomandări pentru utilizatori: cum te poți proteja mai abitir
Specialiștii în securitate recomandă verificarea atentă a extensiilor instalate în browser, în special dacă acestea au fost descărcate pentru funcții populare precum VPN, unelte pentru YouTube sau control video.
În cazul în care ai utilizat una dintre extensiile identificate de Koi Security, este esențial să o dezinstalezi imediat, să ștergi datele de navigare și să monitorizezi cu atenție activitatea conturilor online.
Numele celor 18 extensii implicate nu au fost publicate integral în acest rezumat, dar investigația completă este disponibilă pe site-ul oficial al Koi Security. Până la momentul redactării acestui articol, Google și Microsoft nu au emis un răspuns oficial.