Un nou raport de securitate dezvăluie o vastă campanie de compromitere a browserelor Chrome și Edge.

Conform experților Koi Security, cel puțin 18 extensii disponibile în magazinele oficiale Google și Microsoft au fost folosite pentru a prelua sesiunile de navigare ale utilizatorilor, colectând date sensibile și trimițându-le către servere controlate de atacatori.

Peste 2,3 milioane de utilizatori afectați în Chrome și Edge

În total, peste 2,3 milioane de utilizatori au fost vizați de această campanie, numită RedDirection, conform surselor relevante.

Printre extensiile implicate se regăsesc unele cu funcționalități aparente legitime, cum ar fi selecție de culori, control al vitezei de redare video, tastaturi emoji, VPN-uri pentru Discord și TikTok, teme întunecate, amplificatoare de volum și instrumente pentru accesul la YouTube în rețele restricționate.

Una dintre cele mai populare extensii este „Color Picker” de la Geco, care are o etichetă de confirmare Google, peste 800 de recenzii pozitive și un rating de 4.2 din 5 stele în magazinul Chrome Web Store, fiind cotată la fel de bine și în magazinul Edge Add-ons.

Conform cercetătorului Koi Security, Idan Dardikman, aceste extensii nu au fost inițial periculoase. Codul sursă a fost curat și, în unele cazuri, a rămas aşa timp de ani.

Ulterior, prin actualizări automate, introduse fără intervenție din partea utilizatorilor, au fost aduse modificări malițioase.

Mecanismul RedDirection și dificultatea detectării

Odată infectat, browserul victimei devine un instrument de monitorizare digitală: extensia interceptează adresele web vizitate, le conectează cu un identificator unic atribuit fiecărui utilizator și transmite aceste informații către infrastructura controlată de atacatori.

De asemenea, extensiile pot redirecționa automat utilizatorii către alte site-uri, în funcție de comenzi primite de la serverul central.

Funcționalitățile utile și experiența legitimă au permis extensiilor să treacă neobservate pentru foarte mult timp. În plus, eticheta de confirmare oferită de Google a creat o falsă impresie de siguranță.

Eficacitatea atacului rezidă în implementarea acestuia: utilizatorii nu au fost obligați să efectueze nicio acțiune sau să autorizeze instalarea unor funcționalități suspecte. Totul a decurs în fundal, prin intermediul actualizărilor automate, profitând de politicile existente în ecosistemele Chrome și Edge.

Recomandări pentru utilizatori

Specialiștii în securitate recomandă o verificare atentă a extensiilor instalate în browser, în special cele folosite pentru funcții populare precum VPN, instrumente pentru YouTube sau control video.

În cazul în care ai utilizat una dintre extensiile identificate de Koi Security, este crucial să o dezinstalezi imediat, să ștergi istoricul de navigare și să urmărești cu atenție activitatea conturilor online.

Lista extensiilor afectate nu este complet prezentată în acest rezumat; detaliile complete pot fi consultate pe site-ul oficial al Koi Security. În prezent, Google și Microsoft nu au oferit un răspuns oficial.