Un nou studiu de securitate a descoperit o vastă campanie de spionaj în cadrul browserelor Chrome și Edge.
Specialiștii de la Koi Security au identificat cel puțin 18 extensii disponibile în magazinele oficiale Google și Microsoft, folosite pentru a prelua controlul asupra sesiunilor de navigare ale utilizatorilor, colectând date confidențiale și trimițându-le către servere controlate de atacatori.
Peste 2,3 milioane de utilizatori afectați în Chrome și Edge
În total, peste 2,3 milioane de utilizatori au fost ținta acestei campanii, numită RedDirection.
Printre extensiile implicate se numără aplicații cu funcționalități aparent legitime și utile: selecție de culori, controlul vitezei de redare video, tastaturi emoji, servicii VPN pentru Discord și TikTok, teme întunecate, amplificatoare de volum și instrumente de acces la conținut restricționat, cum ar fi YouTube.
Una dintre cele mai populare extensii, „Color Picker” de la Geco, este verificată de Google, are peste 800 de recenzii pozitive și o medie de 4,2 stele în Chrome Web Store. Și în magazinul Edge Add-ons, extensia este bine cotată.
Potrivit lui Idan Dardikman, cercetător Koi Security, extensiile nu au fost malițioase inițial. Codul inițial a fost curat, iar în anumite cazuri a rămas așa timp îndelungat.
Ulterior, prin actualizări automate, fără intervenție din partea utilizatorilor, au fost introduse modificări dăunătoare.
Ce face RedDirection și cum a evitat detectarea
După infectare, browserul devine un instrument de spionaj digital: extensia interceptează paginile web vizitate, le asociază cu un identificator unic pentru fiecare utilizator și transmite aceste informații către infrastructura atacatorilor.
Mai mult decât atât, extensiile pot redirecționa automat utilizatorii către alte site-uri, conform instrucțiunilor primite de la serverul central.
Funcționalitățile utile și experiența aparent legitimă au permis extensiilor să treacă neobservate mult timp. De asemenea, verificarea Google a contribuit la oferirea unui fals sentiment de siguranță utilizatorilor.
Eficacitatea atacului constă în maniera sa de acțiune: utilizatorii nu au fost solicitați să efectueze nicio operațiune sau să autorizeze funcționalități dubioase. Modificările au fost implementate în background, prin actualizări automate, profitând de politicile existente în ecosistemele Chrome și Edge.
Cum te poți proteja
Specialiștii în securitate recomandă o verificare atentă a extensiilor instalate în browser, mai ales cele pentru funcționalități precum VPN, acces YouTube sau control video.
Dacă ai utilizat una dintre extensiile identificate, este crucial să o dezinstalezi imediat, să ștergi istoricul de navigare și să monitorizezi activitatea online.
Numele celor 18 extensii implicate nu sunt disponibile în această prezentare, dar investigația detaliată poate fi accesată pe site-ul Koi Security.
Până la acest moment, Google și Microsoft nu au oferit o declarație oficială.