Исследователи в области кибербезопасности выявили крупную кампанию по взлому браузеров, в ходе которой вредоносные расширения для Google Chrome и Microsoft Edge заражали миллионы пользователей. Некоторые из этих дополнений оставались доступными в официальных магазинах в течение нескольких лет и даже получали статус "Рекомендуемое" или "Проверено", что вызывает серьёзные сомнения в эффективности механизмов модерации со стороны технологических гигантов.
Операция RedDirection
По данным исследовательской группы Koi Security, кампания, получившая название RedDirection, включала по меньшей мере 18 известных расширений, размещённых в магазинах Chrome и Edge. Общее число установок этих дополнений превысило 2,3 миллиона, что делает её одной из крупнейших документированных операций подобного рода.
Одним из примеров таких расширений стала утилита The Color Picker – Geco, установленная более чем 100 000 раз в Chrome и получившая рейтинг 4,2 звезды на основе более чем 800 отзывов. В магазине расширений Edge она имела аналогично высокий рейтинг и свыше 1 000 установок, что придавало ей видимость надёжного и полезного инструмента.
Аналитик Koi Security Идан Дардикман охарактеризовал расширение как "тщательно замаскированного троянского коня", созданного профессионалами. По его словам, речь идёт не о случайных мошенниках, а о скоординированной и технологически продвинутой операции. Несмотря на то, что The Color Picker – Geco уже удалено из магазина Chrome, на момент публикации оно по-прежнему было доступно в Microsoft Edge.
В кампанию входили и другие вредоносные расширения: клавиатуры с эмодзи, прогнозы погоды, контроллеры скорости видео, прокси для Discord и TikTok, активаторы тёмной темы, усилители громкости и инструменты для обхода блокировок YouTube. Большинство из них выполняли заявленные функции, что помогло им оставаться незамеченными долгие годы.
Особое беспокойство вызывает тот факт, что многие из этих расширений изначально были абсолютно безопасны и даже получали статус "Проверено" в Chrome. Однако со временем их код был тайно обновлён, и в них добавлялась вредоносная функциональность. Благодаря обновлениям эти изменения автоматически распространялись среди миллионов пользователей без их ведома.
Рекомендации пользователям
Специалисты Koi Security настоятельно рекомендуют всем пользователям Chrome и Edge проверить список установленных расширений и немедленно удалить все подозрительные. Также советуется очистить данные браузера, чтобы удалить сохранённые трекеры, и провести полную антивирусную проверку системы.
Полный список вредоносных расширений, участвовавших в кампании RedDirection, доступен в блоге Koi Security на платформе Medium.
