Как вредоносные расширения для браузеров обманули миллионы пользователей и получили доверие Google и Microsoft

Новости криптобиржи

В современном мире браузерные расширения стали неотъемлемой частью повседневного интернет-серфинга. Они помогают улучшить функциональность, облегчают работу и развлекают миллионы пользователей. Однако недавно обнаруженная кампания, охватившая более 2,3 миллионов пользователей, показала, как под видом полезных инструментов могут скрываться опасные вредоносные программы, способные нанести серьезный ущерб приватности и безопасности. Удивительно, но эти расширения получили верефицированные статусы и даже были размещены в рекомендуемых разделах магазинов Google Chrome и Microsoft Edge, что внушало доверие пользователям и еще больше усугубляло проблему. Раскрытие этой масштабной атаки стало тревожным напоминанием о серьезных уязвимостях в системе проверки и мониторинга расширений, с которыми сталкиваются крупнейшие платформы в мире.

Кампания получила название RedDirection и представляет собой тщательно спланированную сеть из восемнадцати вредоносных расширений различных категорий — от инструментов для работы с цветом до прокси-сервисов и видеоконтроллеров. Каждый из этих продуктов предлагает легитимный функционал, который пользователи действительно ожидают — будь то выбор цвета с экрана, ускорение видео или блокировка рекламы. Тем не менее, под привлекательной «оберткой» скрывается сложный механизм браузерного захвата, который активно отслеживает все действия пользователя и вмешивается в работу браузера. Каждое вредоносное расширение в кампании действует по единому принципу: оно ведет постоянный мониторинг всех вкладок и URL-адресов, которые посещает пользователь, собирая эти данные и отправляя их на управляемые злоумышленниками серверы. Помимо слежения, расширения способны выполнять перенаправления на вредоносные сайты в любой нужный момент.

Это может привести к неожиданным атакам, например, когда пользователь получает ссылку на важную видеоконференцию и вместо этого перенаправляется на поддельную страницу с предложением срочного обновления софта, которое на самом деле становится источником более глубоких заражений. Главной особенностью данной кампании является то, что протяжении продолжительного времени вредоносные функции оставались незаметными. Расширения изначально были безвредными, предлагая действительно полезные возможности, что способствовало накоплению огромной базы доверчивых пользователей. Затем, используя механизмы автоматического обновления браузеров, злоумышленники без ведома пользователей вносили изменения, добавлявшие вредоносный код. Эффект оказался разрушительным: более двух миллионов пользователей получили эти обновления без какого-либо согласия или даже уведомлений, что говорит о серьезных провалах в системах верификации и контроля магазинов расширений.

Обман совершен на уровне доверия к платформам, а также с использованием так называемых «сигналов доверия», которыми служат значки верификации от Google и Microsoft, положительные отзывы пользователей и значительное количество установок. Все это создавало иллюзию безопасности и надежности. Пользователи, полагающиеся на такие подсказки, невольно становились участниками масштабной кампании слежки и перенаправления трафика. Опасность этих угроз выходит далеко за пределы простой угрозы приватности. Злоумышленники получили возможность создавать манипуляции с трафиком в реальном времени — подделывать страницы банков, создавать фишинговые сайты и распространять дополнительный вредоносный софт.

В сумме, эти действия фактически создают постоянного «человека посередине» (MITM), контролирующего браузер пользователя и способного использовать эту позицию для кражи учетных данных, установки шпионских программ и проведения других атак на устройства. Важно отметить, что на уровне инфраструктуры весь этот комплекс вредоносных расширений поддерживается централизованной системой команд и контроля, что позволяет злоумышленникам управлять сетью и оперативно внедрять новые вредоносные функции. Для каждого расширения работают отдельные поддомены и серверы, создавая искусственное впечатление, что операторы независимы, тогда как на самом деле все связано одной координирующей схемой. Для пользователей, которые могут быть затронуты, крайне важна быстрая реакция. Помимо немедленного удаления таких расширений из браузеров, рекомендуется очистить кэш и cookies, провести глубокую проверку компьютера на наличие дополнительного вредоносного ПО и внимательно следить за активностью своих учетных записей, особенно если используются онлайн-банкинг и другие сервисы с чувствительной информацией.

Данный инцидент вскрывает проблемы общей системы безопасности и отвечает на вопросы, насколько эффективно современные платформы могут контролировать содержащиеся в их магазинах расширения и приложения. Несмотря на наличие процедур верификации, масштабы и продвинутость атакующих показали, что текущие механизмы защиты и обзора не способны справиться с новой волной угроз, которые маскируются под полностью легальные и полезные инструменты. Эксперты призывают к коренным изменениям в подходах к обеспечению безопасности на уровне браузеров и маркетплейсов, а также к усилению технического анализа обновлений, который позволит выявлять потенциально опасные изменения в коде расширений до того, как пользователи получат вредоносные версии. Такой сдвиг – ключ к снижению рисков и восстановлению доверия конечных пользователей к экосистемам браузеров. Открытие и анализ кампании RedDirection также поднимает важную тему использования стороннего кода и расширений на предприятии.

Часто организации недостаточно внимательно контролируют программные компоненты и расширения, которыми пользуются их сотрудники, что создает дополнительную плоскость рисков и вектор для атак. Выстраивание эффективных принципов обнаружения и управления такими угрозами становится для корпоративной безопасности приоритетом. В итоге обнаружение и публикация деталей об этой вредоносной кампании от команды исследователей безопасности стали знаковым событием для всего отраслевого сообщества. Оно демонстрирует, что за привлекательными предложениями в магазинах расширений могут скрываться сложные и долго незаметные вредоносные операции, способные затронуть миллионы пользователей и парализовать доверие к крупнейшим IT-платформам. Будущее безопасности расширений во многом зависит от обновления механизмов проверки, прозрачности и компетентного контроля каждой новой версии, а также от более глубокого и системного подхода к защите пользователей на уровне экосистемы браузеров.

Сейчас настало время для переосмысления процесса управления расширениями, превентивного выявления угроз и совместных усилий разработчиков, платформ и конечных пользователей на пути к более надежной и безопасной цифровой среде.