Unii chiar au primit ecusoane „verificate” și „prezentate” de la Google și Microsoft
WTF?! Se presupune că mai multe extensii de browser cu un total combinat de peste 2,3 milioane de descărcări au fost deturnând sesiunile de navigare și urmărirea activității utilizatorului. Multe dintre aceste suplimente rău intenționate au rămas disponibile pe magazinele web Chrome și Edge, de ani buni, unii primind chiar și insignele râvnite „prezentate” și „verificate”, ridicând întrebări serioase cu privire la procesele de revizuire a extensiei utilizate de Google și Microsoft.
Potrivit cercetătorilor de la Koi Security, extensiile rău intenționate au făcut parte dintr-o operațiune coordonată care a implicat cel puțin 18 suplimente cunoscute enumerate pe magazinele de extensii Chrome și Edge. Numit „Reddirection”, campania de deturnare a browserului se crede că a infectat peste 2,3 milioane de utilizatori în ambele browsere, ceea ce o face una dintre cele mai mari operațiuni de acest fel documentate vreodată.
Una dintre extensiile suspecte, culoarul culorilor-GECO, a avut peste 100.000 de instalații pe crom și un rating de 4,2 stele din peste 800 de recenzii. De asemenea, a primit ratinguri la fel de mari la magazinul de suplimente Microsoft Edge, cu peste 1.000 de instalații, oferindu-i o apariție de legitimitate.
Descriind extensia ca un „cal troian cu atenție”, analistul de securitate Koi, Idan Dardikman, a menționat că aceasta nu a fost munca escroilor amatori, ci mai degrabă o operațiune sofisticată orchestrată de persoane care știau clar ce fac. În timp ce extensia a fost eliminată de atunci din magazinul web Chrome, aceasta a fost încă disponibilă pe magazinul Edge suplimentar în momentul scrierii.
Alte extensii rău intenționate în campanie includ diverse tastaturi emoji, instrumente de prognoză meteo, controlere de viteză video, proxies VPN pentru discordie și tiktok, activatori de temă întunecată, impulsuri de volum și deblocatori YouTube. Cei mai mulți dintre ei și -au îndeplinit funcțiile publicitate în mod rezonabil, ceea ce le -a permis să rămână nedetectați ani de zile.
Se pare că multe dintre aceste extensii au început inofensiv, unii câștigând chiar și un ecuson „verificat” pe magazinul web Chrome. Codul a rămas curat ani de zile înainte ca funcționalitatea rău intenționată să fie introdusă în liniște prin actualizări. Aceste actualizări au permis instalarea automată a codului ascuns pe milioane de dispozitive din ambele browsere, fără nicio interacțiune a utilizatorului.
Cercetătorii KOI au emis un aviz care solicită utilizatorilor afectați să elimine imediat toate extensiile suspecte de la Chrome și Edge. Utilizatorii sunt, de asemenea, sfătuiți să-și șteargă datele browserului pentru a elimina identificatorii de urmărire stocate și pentru a rula o scanare malware la nivel de sistem, la nivel de sistem, pentru a verifica orice infecții suplimentare.
Lista completă de extensii rău intenționate legate de campania de redDirecție este disponibilă pe blogul Koi Security pe Medium.
