В современном цифровом мире расширения для браузеров стали неотъемлемым атрибутом повседневного интернет-серфинга. Они призваны облегчить работу, добавить новые функции и улучшить пользовательский опыт. Однако недавнее расследование экспертной команды Koi Security выявило серьезную угрозу, исходящую именно от тех расширений, которым доверяли крупнейшие технологические гиганты — Google и Microsoft. Раскрытие масштабной кампании вредоносных расширений, установленных более чем 2,3 миллионами пользователей, стало серьезным вызовом для безопасности современной экосистемы браузеров. На первый взгляд, речь идет о привычных и востребованных утилитах — цветных пипетках, контроллерах скорости видео и других полезных инструментах.
Однако за маской полезности скрывался тщательно спроектированный троян. Этот троян крал данные пользователей, следил за их действиями в интернете и мог перенаправлять на мошеннические страницы. Кампания получила название RedDirection и оказалась намного масштабнее, чем первоначально казалось. Она объединяла восемнадцать различных расширений, присутствующих и в магазине Chrome Web Store, и в Microsoft Edge Add-ons. Каждый элемент кампании предлагал свою «легитимную» функцию, одновременно внедряя скрытый код для осуществления шпионажа.
Многие из этих расширений имели пометку «проверено» и даже были представлены на главных страницах магазинов расширений, что создавало иллюзию полной безопасности. Основная опасность заключалась в том, что вредоносный код не присутствовал с самого начала. Он появлялся только после нескольких обновлений — что позволяло заражать пользователей постепенно, не вызывая у них подозрений. Благодаря автоматической системе обновлений, созданной и поддерживаемой Google и Microsoft, вредоносные версии распространялись почти бесшумно, без необходимости для пользователей подтверждать любые действия. Такой механизм превратил платформы, разработанные для удобства и безопасности, в эффективный канал доставки вредоносного ПО.
Вредоносные расширения реализовывали сложный механизм браузерного перехвата. Каждый раз при обновлении вкладки расширение отслеживало текущий URL страниц и отправляло эти данные на удаленный сервер злоумышленников вместе с уникальными идентификаторами пользователя. Затем, получая команды от центра управления, расширения могли перенаправлять пользователя на зловредные сайты или подменять контент. Например, ссылки на видеоконференции могли превращаться в ловушки с поддельными обновлениями программ, а страницы банков — в убедительные копии, созданные с целью украсть учетные данные. Масштабы заражения впечатляют: сотни миллионов кликов и просмотров пользователей мониторились и контролировались злоумышленниками.
При этом кража данных и перенаправления происходили в фоновом режиме, затрудняя своевременное обнаружение проблемы. Не менее важным аспектом стала демонстрация уязвимости самой системы проверки и модерации расширений в крупнейших магазинах. Верификация и выделение расширений с помощью специальных отметок традиционно воспринимается как гарантия надежности. Однако в данном случае именно эти сигналы доверия были использованы злоумышленниками как инструмент манипуляции, подтверждая безопасность и тем самым завлекая новых пользователей. Анализ кампании RedDirection выявил комплексный подход злоумышленников: создание правдоподобных расширений с первоначально чистым кодом, постепенное внедрение вредоносных функций, использование нескольких доменных имен для связи с командными серверами и перекрестное распространение вредоносного ПО через разные платформы браузеров.
В результате получается не отдельная атака, а целая сеть с возможностью долгосрочного контроля над браузерной активностью миллионов пользователей. Для конечных пользователей критически важно сразу же проверить список установленных расширений и удалить все подозрительные или упомянутые в расследовании Koi Security. Очистка браузера от данных, связанных с расширениями, а также полное сканирование системы на наличие дополнительного вредоносного ПО помогут снизить риски дальнейших атак и утечек персональной информации. Кроме того, рекомендуется внимательно отнестись к установке новых расширений, обращая внимание не только на количество установок и отзывы, но и на репутацию разработчика и дату последних обновлений. Для компаний и организаций выявленная кампания служит ясным сигналом необходимости пересмотра политики безопасности, внедрения дополнительных механизмов контроля и мониторинга используемых в инфраструктуре расширений.
