Интернет-пространство сегодня неразрывно связано с использованием различных браузерных расширений, которые помогают пользователям улучшать опыт работы в сети, уменьшать рутинные задачи и обеспечивать дополнительную функциональность. Однако, как показывает последняя масштабная расследовательская работа исследовательской команды Koi Security, многое из того, что воспринимается как безопасное и проверенное, может скрывать глубокие угрозы. 18 вредоносных расширений, при этом получивших доверие таких корпораций, как Google и Microsoft, заразили более 2,3 миллиона пользователей, взломав браузеры Chrome и Edge. Эта угроза получила название кампании RedDirection, которая продемонстрировала, насколько уязвимыми стали механизмы контроля и проверки расширений в крупнейших магазинах приложений браузеров.</p> Многие пользователи уверены, что расширения с отметками «verified» или «featured», сопровождающиеся тысячами положительных отзывов и высокой популярностью, представляют собой безопасный и надежный софт.
Опыт работы с таким расширением, например «Color Picker, Eyedropper — Geco colorpick», служит подтверждением этого. Однако эта надёжность оказалась обманчивой. Это расширение на протяжении нескольких лет успешно выполняло заявленные функции, будучи полезным инструментом — цветовым пипеткой. Все изменилось с обновлением, которое добавило вредоносный код, позволяющий осуществлять скрытый и непрерывный мониторинг действий пользователей в браузере. Эта стратегия оказалась крайне эффективной и привела к тому, что расширение стало троянским конем, незаметно собирая данные и перенаправляя пользователей на опасные сайты без их ведома.
</p> Кампания RedDirection выходит за рамки одного расширения — это целая сеть из 18 различных приложений, объединенных общей инфраструктурой командного и управляющего сервера. Эти расширения маскируются под популярные инструменты в самых разных категориях: от клавиатур с эмодзи до инструментов для улучшения видео, прогнозов погоды, VPN-прокси и даже темной темы интерфейса. Каждое расширение обеспечивает заявленный функционал, что повышает доверие пользователей, но параллельно с этим внедряет одинаковые вредоносные механизмы, позволяющие перехватывать браузерные сессии и управлять ими.</p> Крайне значимым фактом является тот, что некоторые из этих расширений получили официальный статус Verified и даже были рекомендованы в магазинах Chrome Web Store и Microsoft Edge Add-ons, что подчеркивает системные сложности в обеспечении безопасности платформ. Вместо того чтобы выявлять и блокировать угрозы, механизмы проверки позволили сотням тысяч пользователей установить и использовать вредоносное ПО.
Это свидетельствует о недостаточной проработке алгоритмов проверки, которые скорее дублируют формальные процедуры, чем реально анализируют вредоносное поведение кода.</p> Технически ключевой особенностью данных расширений является их способность отслеживать действия пользователя в браузере. Например, код, внедренный в фоновый сервисный работник расширения, умеет мониторить каждое открытие или обновление вкладки. При загрузке страницы текущий URL отправляется на сервер злоумышленников вместе с уникальным идентификатором пользователя, после чего вредоносное ПО получает инструкции по возможному перенаправлению пользователя на неожиданные и опасные ресурсы. Такое постоянное вмешательство позволяет осуществлять полноценный контроль и организовывать атаки типа «человек посередине» без необходимости взламывать отдельные сайты или применять фишинг.
</p> Помимо кражи данных и перехвата трафика, вредоносные расширения способны вызывать глубокое системное заражение. Например, в одной из распространенных атак пользователю, пытающемуся присоединиться к видеозвонку в Zoom, показывается поддельное уведомление о необходимости срочно обновить программу. Это продвижение фейкового установочного файла, которое в итоге ведет к заражению компьютера дополнительным вредоносным ПО, с возможностью полного контроля над устройством. Аналогично, такие расширения могут перенаправлять пользователей на фишинговые копии банковских сайтов, незаметно похищая учетные данные и финансовую информацию.</p> Тревожным моментом является тот факт, что вредоносные обновления внедрялись не сразу, а через эксплуатирование механизма обновлений, который Google и Microsoft разработали для удобства и масштабируемости распространения расширений.
Пользователи автоматически получали последние версии без дополнительного внимания и подтверждения, что означало, что с момента появления вредоносного кода миллионы систем оказались быстро подвержены заражению. Такое использование доверия, основанного на положительной репутации и бессердечном автоматическом обновлении, можно назвать настоящей катастрофой цепочки поставок программного обеспечения.</p> Согласно рекомендациям исследователей, всем пользователям, которые имеют установленные расширения из списка RedDirection, следует немедленно удалить их из браузеров, очистить данные браузера и провести полномасштабное сканирование системы на предмет вредоносного ПО. Также рекомендуется внимательно пересмотреть остальные расширения и проверить их на схожее подозрительное поведение с использованием индикаторов компрометации, предоставленных экспертами.</p> Случай с RedDirection ярко поднимает вопрос о системных недостатках безопасности в крупнейших магазинах браузерных расширений.
Отмечается, что проверки, основанные на количественных показателях вроде популярности, отзывов и официальных знаков, существенно устарели и не отвечают сложностям современных угроз. Угрозы становятся более изощренными, маскируются под хорошо работающие инструменты и постепенно переходят в злонамеренное поведение без привлечения внимания.</p> В более широком контексте, кампания стала серьезным предупреждением для всей индустрии, показывая насколько серьёзны риски от использования расширений и сторонних плагинов в IT-экосистемах. Период доверия к массовым автоматическим обновлениям и примерно достаточным проверкам заканчивается. Появляется новая эпоха, когда необходим глубокий аудит, постоянный мониторинг поведения и использование специализированных инструментов для выявления потенциальных угроз на уровне самих расширений и их подструктуры.
</p> Инструменты, подобные тем, которые предлагает компания Koi Security, отвечают на вызовы времени, предоставляя корпоративным и частным пользователям возможности управлять безопасностью программного обеспечения, импортируемого из различных маркетплейсов. Большие организации уже используют такие платформы для предотвращения проникновения угроз и повышения уровня контроля над третьими сторонами в своих инфраструктурах.</p> В итоге, случай с 18 расширениями RedDirection, распространявшими вредоносное ПО под видом популярных полезных инструментов, показывает, что даже технологические гиганты Google и Microsoft не застрахованы от уязвимостей в своих екосистемах. Пора отказаться от поверхностных подходов к безопасности и начать применять проактивные решения, которые учитывают сложность современных атак и изменяющиеся методы злоумышленников.</p> Для конечных пользователей самым важным выводом остается необходимость критического отношения к установленным расширениям, регулярный аудит их разрешений и поведения, а также уменьшение зависимости от непроверенного стороннего кода.
Только комплексная работа в этом направлении может оградить миллионы пользователей от повторения подобных масштабных инцидентов в будущем.
