Крупномасштабная вредоносная кампания RedDirection, использующая 18 компрометированных расширений для браузеров Chrome и Microsoft Edge, поставила под угрозу более 2,3 миллиона пользователей по всему миру. Как выяснилось, все расширения прошли процедуру верификации в официальных магазинах Google и Microsoft, годами функционируя легитимно перед превращением в инструменты кибершпионажа. Об этом свидетельствуют данные расследования компании Koi Security, опубликованные 8 июля 2025 года и последующий анализ угрозы специалистами Stairwell.
Описание
Механизм атаки: Доверие как уязвимость
Кампания RedDirection демонстрирует изощрённую тактику злоумышленников, эксплуатирующих доверие к цифровым платформам. Расширения, включая инструменты для выбора цвета, контроля скорости видео или прогноза погоды, изначально предлагали заявленный функционал и получили статус "верифицированных" в Chrome Web Store и Microsoft Edge Add-ons. Спустя значительное время после публикации, в их код были внедрены скрытые модули, превратившие их в бэкдоры. Эти модули начали фиксировать всю активность в браузере, передавая данные на управляемые злоумышленниками командные серверы (C2), включая домены undiscord[.]com и unyoutube[.]net.
Эксперты Koi Security подчёркивают системную проблему: процессы проверки Google и Microsoft ориентированы "на масштаб, а не на скрупулёзность". Это создаёт ложное чувство безопасности у пользователей, привыкших доверять маркетплейсам крупных платформ. Инцидент RedDirection стал наглядным напоминанием, что даже верифицированное ПО требует постоянной бдительности и независимого контроля.
Проблема обнаружения: Поиск иголки в стоге сена
Несмотря на удаление большинства вредоносных расширений из магазинов, часть инфраструктуры остаётся активной. Для компаний главная сложность заключается в идентификации всех заражённых устройств внутри корпоративных сетей. Поиск требует кросс-референса установленных идентификаторов расширений со списком известных вредоносных ID (например, через Google Workspace, Microsoft Endpoint Manager, EDR-системы или ручные скрипты, проверяющие директории вроде "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\").
Этот процесс крайне ресурсоёмок. Запросы к каждому устройству создают нагрузку на систему, а масштабирование на тысячи конечных точек, включая оффлайн-устройства, превращает задачу в многонедельный или даже многомесячный проект. Проблема усугубляется долгим сроком присутствия расширений в магазинах - некоторые были доступны годами, что расширяет окно потенциального заражения.
Решение: YARA-правило
Для ускорения детектирования артефактов RedDirection специалисты Stairwell разработали специализированное YARA-правило. Оно позволяет эффективно сканировать системы на наличие конкретных индикаторов компрометации (IoC).
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 | rule Chrome_Edge_Extensions_RedDirection { meta: date = "2025-07-10" description = "Chrome + Edge extensions and domains compromised in the Red Direction campaign." strings: // chrome extension path structure $path1 = "\\AppData\\Local\\Google\\Chrome\\User Data\\" ascii nocase $path2 = "\\Extensions\\" ascii nocase // chrome $ext1 = "kgmeffmlnkfnjpgmdndccklfigfhajen" ascii nocase // Emoji keyboard online — copy&past your emoji $ext2 = "dpdibkjjgbaadnnjhkmmnenkmbnhpobj" ascii nocase // Free Weather Forecast $ext3 = "gaiceihehajjahakcglkhmdbbdclbnlf" ascii nocase // Video Speed Controller — Video manager $ext4 = "mlgbkfnjdmaoldgagamcnommbbnhfnhf" ascii nocase // Unlock Discord — VPN Proxy to Unblock Discord Anywhere $ext5 = "eckokfcjbjbgjifpcbdmengnabecdakp" ascii nocase // Dark Theme — Fake version of Dark Reader for Chrome $ext6 = "mgbhdehiapbjamfgekfpebmhmnmcmemg" ascii nocase // Volume Max — Ultimate Sound Booster $ext7 = "cbajickflblmpjodnjoldpiicfmecmif" ascii nocase // Unblock TikTok — Seamless Access with One-Click Proxy $ext8 = "pdbfcnhlobhoahcamoefbfodpmklgmjm" ascii nocase // Unlock YouTube VPN $ext9 = "eokjikchkppnkdipbiggnmlkahcdkikp" ascii nocase // Color Picker, Eyedropper — Geco colorpick $ext10 = "ihbiedpeaicgipncdnnkikeehnjiddck" ascii nocase // Weather // edge extension path structure $path3 = "\\AppData\\Local\\Microsoft\\Edge\\User Data\\" ascii nocase $path4 = "\\Extensions\\" ascii nocase // edge $id1 = "jjdajogomggcjifnjgkpghcijgkbcjdi" ascii nocase // Unlock TikTok $id2 = "mmcnmppeeghenglmidpmjkaiamcacmgm" ascii nocase // Volume Booster — Increase your sound] $id3 = "ojdkklpgpacpicaobnhankbalkkgaafp" ascii nocase // Web Sound Equalizer $id4 = "lodeighbngipjjedfelnboplhgediclp" ascii nocase // Header Value $id5 = "hkjagicdaogfgdifaklcgajmgefjllmd" ascii nocase // Flash Player — games emulator $id6 = "gflkbgebojohihfnnplhbdakoipdbpdm" ascii nocase // Youtube Unblocked $id7 = "kpilmncnoafddjpnbhepaiilgkdcieaf" ascii nocase // SearchGPT — ChatGPT for Search Engine $id8 = "caibdnkmpnjhjdfnomfhijhmebigcelo" ascii nocase // Unlock Discord // domains $d1 = "admitab.com" ascii nocase $d2 = "edmitab.com" ascii nocase $d3 = "click.videocontrolls.com" ascii nocase $d4 = "c.undiscord.com" ascii nocase $d5 = "click.darktheme.net" ascii nocase $d6 = "c.jermikro.com" ascii nocase $d7 = "c.untwitter.com" ascii nocase $d8 = "c.unyoutube.net" ascii nocase $d9 = "admitclick.net" ascii nocase $d10 = "addmitad.com" ascii nocase $d11 = "admiitad.com" ascii nocase $d12 = "abmitab.com" ascii nocase $d13 = "admitlink.net" ascii nocase condition: ($path1 and $path2 and 1 of ($ext*)) or ($path3 and $path4 and 1 of ($id*)) or (1 of ($d*)) } |
