В эпоху цифровизации браузерные расширения стали важной частью повседневной жизни миллионов человек. Они повышают удобство работы, добавляют новые функции и улучшают пользовательский опыт. Однако недавнее масштабное расследование выявило опасную сторону этой экосистемы: по крайней мере восемнадцать браузерных расширений, доступных в официальных магазинах Google Chrome и Microsoft Edge, были заражены сложным шпионским ПО и вредоносным кодом. Более того, эти расширения имели значительное количество загрузок — свыше 2,3 миллионов пользователей по всему миру — и долгое время пользовались особым доверием, получая знаки верификации от Google и Microsoft, а также отмечаясь как рекомендованные в магазинах приложений. Основой обнаруженного зловредного ПО стала кампания, условно названная RedDirection.
Исследование началось с анализа одного из расширений — популярного инструмента для выбора цвета «Color Picker, Eyedropper — Geco colorpick». С виду — вполне безобидный и полезный продукт, один из лучших в своём сегменте с тысячами положительных отзывов и значительным числом установок. Однако под видимой функциональностью скрывалась зловредная активность. Это расширение не просто предоставляло пользователям заявленные возможности, оно также тайно отслеживало каждую посещаемую страницу и отправляло адреса сайтов на удалённый сервер злоумышленников. Вредоносный код активировался при каждом обновлении вкладки браузера, захватывая URL и отправляя эту информацию вместе с уникальным идентификатором пользователя на серверы, контролируемые киберпреступниками.
В ответ злоумышленники могли отдавать команды о перенаправлении пользователя на поддельные или вредоносные сайты, внедряя различные типы атак, включая фишинг и установку дополнительного вредоносного ПО. По оценкам специалистов, такая тактика обеспечивала огромный контроль над браузерными сессиями жертв без их осознания. Расширения, входящие в RedDirection, маскировались под различные категории: от клавиатур с эмодзи и погодных виджетов до VPN-прокси и инструментов для ускорения видео. Каждый инструмент имел привлекательный и функциональный интерфейс, соответствовал заявленной задаче, что создавало эффект «идеальной троянской лошади». Злоумышленники не спешили сразу применять вредоносные функции.
На протяжении месяцев, а иногда и лет, расширения были чистыми и исправно работали, завоёвывая доверие пользователей и обходя проверки магазинов приложений. Настоящая угроза появилась с обновлениями, которые тихо доставлялись миллионам устройств по всему миру без дополнительных подтверждений от пользователей. Такой способ распространения делает кампанию особенно опасной. Ни фишинг, ни социальная инженерия не играли никакой роли — расширения легально обновлялись через безопасные каналы Chrome Web Store и Microsoft Edge Add-ons, словно одобренные и проверенные продукты. Как показало расследование, верификация, высокие рейтинги и «особое» размещение в магазине приложений вовсе не являются гарантией безопасности.
Эта ситуация обнажила фундаментальные пробелы в системе контроля расширений. Крупнейшие технологические компании, Google и Microsoft, несмотря на развитые инфраструктуры проверки приложений, не отследили признаки вредоносной активности, позволив таким расширениям получить знак верификации и многократно выйти на первые позиции поисковой выдачи. Подобные сбои в безопасности демонстрируют проблему масштабируемости: автоматизированные процессы, направленные на удобство пользователей и разработчиков, могут не предусматривать комплексного анализа поведения программ и полностью игнорировать поведенческие паттерны вредоносного ПО. Опасность RedDirection заключается также в том, что атакующие построили централизованную инфраструктуру управления, с помощью которой можно было одновременно контролировать сотни тысяч браузеров на платформах Chrome и Edge. Каждый из восемнадцати вредоносных плагинов использовал уникальные поддомены для связи с командным сервером, что создавало впечатление децентрализованности, но на самом деле все операции управлялись единой преступной группой.
Такое технологическое решение увеличивает эффективность кампании, снижая риск обнаружения и возможности нейтрализации. Среди зарегистрированных поддоменов значатся адреса с названиями, подобными admitclick.net, click.videocontrolls.com или c.
undiscord.com, используемые для передачи информации и получения команд в реальном времени. Вредоносные расширения способны осуществлять тысячи разных действий, включая подмену страниц, перенаправления на фальшивые сайты, сбор личных данных и даже внедрение дополнительного вредоносного кода. Такой уровень контроля над браузером пользователя буквально превращает его в заложника, подвергая риску все страницы, которые он посещает, включая финансовые организации, социальные сети и корпоративные порталы. Для пользователей это может обернуться полной потерей конфиденциальной информации и, в худших случаях, — взломом устройств.
Для борьбы с угрозой специалисты рекомендуют максимально срочно проверить наличие подозрительных расширений в списках установленных плагинов. Если одно или несколько из них совпадают с идентификаторами, связанными с кампанией RedDirection, необходимо удалить их немедленно и очистить все данные браузера. Также важно выполнить полное сканирование системы антивирусными программами и постоянно мониторить активность онлайн-аккаунтов — особенно тех, которые содержат чувствительную информацию. Данная ситуация стала своего рода прецедентом и сигналом тревоги для всего индустрии программного обеспечения и интернет-безопасности. Малварь, маскирующаяся под проверенные и популярные инструменты, — не редкость, но столь масштабная и просчитанная операция остается редкостью.
Из неё следуют важные выводы для платформ-распространителей: системы верификации и мониторинга должны развиваться, включать не только статический и формальный аудит, но и динамическое поведенческое тестирование расширений, а также анализ изменений кода в процессе обновлений. У пользователей же нет другого выбора, кроме тщательной проверки и осторожного отношения к установке любых расширений, даже если они идут из официальных магазинов и имеют «галочки доверия». Крайне полезным инструментом для специалистов и организаций является платформа Koi Security, которая позволяет контролировать используемые расширения, выявлять подозрительные компоненты и минимизировать риски, связанные с использованием стороннего кода с высокими привилегиями. Более того, открытое и прозрачное информирование общественности об угрозах подобного масштаба и характера является важнейшим шагом к созданию безопасного цифрового пространства. Текущая кампания RedDirection показывает, что злоумышленники постоянно эволюционируют, используя новые подходы для обхода защитных механизмов, поэтому сдерживание угроз требует комплексного подхода — от технологического и организационного до юридического и образовательного.
История одиннадцатимиллионной аудитории, оказавшейся под угрозой, связанной всего с восемнадцатью вредоносными расширениями, — наглядный пример, что доверие в интернете должно быть заслуженным, а проверка — постоянной и комплексной. Будущее безопасности браузерных расширений требует усиленного внимания, улучшения процессов контроля и участия как производителей ПО, так и самих пользователей.
