Największa afera z rozszerzeniami przeglądarek od lat. Miliony danych w rękach hakerów
Badacze z Koi Security ujawnili szeroko zakrojoną kampanię cyberprzestępczą nazwaną RedDirection. Jej celem stało się przejęcie kontroli nad przeglądarkami Chrome i Edge poprzez rozszerzenia, które z pozoru wyglądały na całkowicie bezpieczne. Jednym z przykładów jest narzędzie Geco Color Picker – popularny selektor kolorów do stron internetowych, z którego korzystało ponad 100 tysięcy osób. Rozszerzenie miało setki recenzji w Chrome Web Store i średnią ocenę 4,2 na 5 gwiazdek. Było również oznaczone jako „polecane” przez Google, co dodatkowo usypiało czujność użytkowników.
Z pozoru użyteczne — w rzeczywistości narzędzia szpiegowskie
Jak wynika z raportu Koi Security, Geco Color Picker to tylko wierzchołek góry lodowej. W sumie śledczy zidentyfikowali aż 18 rozszerzeń — dostępnych zarówno w sklepach Chrome, jak i Edge — które podszywały się pod aplikacje do prostych zadań. Wśród nich znalazły się klawiatury emoji, prognozy pogody, przyspieszacze filmów, VPN-y do Discorda czy TikToka, ciemne motywy, wzmacniacze dźwięku, a nawet odblokowywacze YouTube’a w miejscach pracy czy szkołach.
Choć oficjalnie pełniły przydatne funkcje, w tle rejestrowały każdy krok użytkownika w sieci — monitorowały odwiedzane adresy URL, przypisywały indywidualne identyfikatory i przesyłały te dane na serwery kontrolowane przez cyberprzestępców. Dodatkowo potrafiły zdalnie przekierowywać przeglądarki użytkowników, gdy tylko operator kampanii wydał takie polecenie.
Jak to było możliwe?
Szczególnie niepokojący jest fakt, że złośliwy kod wcale nie był obecny od samego początku. Według specjalistów z Koi Security, twórcy najpierw publikowali w pełni nieszkodliwe wersje rozszerzeń, które nie wzbudzały żadnych podejrzeń. Czasami funkcjonowały tak nawet przez lata. Dopiero późniejsze aktualizacje — automatycznie instalowane w przeglądarkach przez systemy Google i Microsoft — wprowadzały moduły szpiegujące. „Większość z ponad 2,3 mln użytkowników nigdy niczego nie kliknęła ani nie zainicjowała tej zmiany. Wszystko działo się w tle w ramach cichych aktualizacji” — podkreśla analityk Koi Security Idan Dardikman.
Co zrobić, by się zabezpieczyć?
Eksperci radzą, by każdy, kto posiadał któreś z podejrzanych rozszerzeń, natychmiast je usunął, wyczyścił dane przeglądarki (w tym pamięć podręczną i ciasteczka) oraz uważnie obserwował konta bankowe i e-mailowe pod kątem nietypowej aktywności.
Pełna lista zainfekowanych rozszerzeń
Lista obejmuje następujące dodatki:
Na Chrome:
- Color Picker, Eyedropper — Geco colorpick
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Free Weather Forecast
- Emoji keyboard online
- Video Speed Controller
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
Na Edge:
- Unlock TikTok
- Unlock Discord
- Volume Booster
- Youtube Unblocked
- Web Sound Equalizer
- Flash Player — games emulator
- SearchGPT — ChatGPT for Search Engine
- Header Value