11 проверенных Google расширений Chrome заразили более 1,7 миллионов пользователей

Среди зараженных расширений были «Color Picker, Eyedropper Geco colorpick», «Video Speed Controller» и «Emoji keyboard online». Внешне они выполняли заявленные функции, но при этом скрытно внедряли вредоносный код, способный перехватывать пользовательские данные и перенаправлять трафик.

Особенность кампании RedDirection заключается в том, что расширения долгое время работали без признаков вредоносной активности, а затем получили скрытые обновления, автоматически установленные без ведома пользователей. Эти обновления превращали безобидные инструменты в шпионские платформы, способные отслеживать посещаемые сайты, собирать URL-адреса и перенаправлять пользователей на фишинговые страницы через серверы управления, такие как admitclick.net и click.videocontrolls.com.

Эксперты Koi Security выяснили, что вредоносный код активируется при каждом обновлении вкладки, отправляя конфиденциальные данные о поведении пользователей на удаленные серверы. Это открывает возможность для атак типа «человек посередине», когда жертв перенаправляют на поддельные страницы банков или обновлений программ вроде Zoom, вынуждая их вводить учетные данные или загружать дополнительное вредоносное ПО.

Скандал с RedDirection вскрыл серьезные уязвимости в системе контроля цифровых магазинов расширений. Несмотря на наличие проверок и рекомендаций, Google и Microsoft упустили угрозу, что позволило злоумышленникам использовать доверие пользователей к платформам. Более того, некоторые расширения имели свыше 100 000 установок, что делало их особенно опасными из-за масштабов заражения.

Еще больше тревожит разнообразие зараженных приложений: среди них были инструменты для изменения темы браузера, усиления громкости, VPN-расширения для Discord и TikTok. Каждое из них использовало уникальные субдомены для связи с серверами управления, что усложняло выявление взаимосвязи между ними.

Koi Security предупреждает, что этот случай - не единичная атака, а показатель системного кризиса в безопасности цифровых магазинов. Компания рекомендует пользователям немедленно удалить подозрительные расширения, очистить данные браузера и проверить систему антивирусным ПО.

Эта история подчеркивает необходимость пересмотра подходов к проверке и обновлению сторонних приложений. В условиях, когда злоумышленники могут годами скрывать вредоносную активность, критически важно внедрять более строгие механизмы контроля и прозрачности.

Если вы использовали какие-либо из перечисленных расширений, обязательно проверьте историю посещений и смените пароли от важных сервисов - возможно, ваши данные уже были скомпрометированы.

Chrome Extension IDs

• cbajickflblmpjodnjoldpiicfmecmif
• dpdibkjjgbaadnnjhkmmnenkmbnhpobj
• eckokfcjbjbgjifpcbdmengnabecdakp
• eokjikchkppnkdipbiggnmlkahcdkikp
• gaiceihehajjahakcglkhmdbbdclbnlf
• ihbiedpeaicgipncdnnkikeehnjiddck
• kgmeffmlnkfnjpgmdndccklfigfhajen
• mgbhdehiapbjamfgekfpebmhmnmcmemg
• mlgbkfnjdmaoldgagamcnommbbnhfnhf
• pdbfcnhlobhoahcamoefbfodpmklgmjm

Edge extensions IDs

• jjdajogomggcjifnjgkpghcijgkbcjdi
• mmcnmppeeghenglmidpmjkaiamcacmgm
• ojdkklpgpacpicaobnhankbalkkgaafp
• lodeighbngipjjedfelnboplhgediclp
• hkjagicdaogfgdifaklcgajmgefjllmd
• gflkbgebojohihfnnplhbdakoipdbpdm
• kpilmncnoafddjpnbhepaiilgkdcieaf
• caibdnkmpnjhjdfnomfhijhmebigcelo

Domains

• abmitab.com
• addmitad.com
• admiitad.com
• admitab.com
• admitclick.net
• admitlink.net
• c.jermikro.com
• c.undiscord.com
• c.untwitter.com
• c.unyoutube.net
• click.darktheme.net
• click.videocontrolls.com
• edmitab.com