Mielőtt rosszindulatúvá vált volna, az egyik bővítmény Google által ellenőrzött jelvényt viselt, több mint 800 értékelése volt, és kiemelt helyen szerepelt a Chrome Web Store-ban.

A Koi Security kutatói arra figyelmeztetnek, hogy a „Color Picker, Eyedropper – Geco colorpick” bővítmény is egyike annak a tizennyolcnak, amelyet nemrég frissítettek veszélyes kóddal. „Ez egy gondosan kidolgozott trójai faló, amely pontosan azt nyújtja, amit ígér (egy működő színválasztót), miközben egyidejűleg eltéríti a böngészőt, nyomon követi az összes meglátogatott weboldalt, és egy folyamatos vezérlő-háttérkaput tart fenn” – mondták a kutatók.

A kifinomult támadássorozat, amely a RedDirection nevet kapta, több mint 2,3 millió Chrome- és Edge-felhasználót fertőzött meg, ezzel az egyik legnagyobb böngésző-eltérítési műveletté vált.

Egyik érintett bővítmény sem volt eleve rosszindulatú. Népszerű produktivitási vagy szórakoztató eszközök voltak, például emoji-billentyűzetek, időjárás-előrejelzők, videógyorsító vezérlők, hangerőnövelők, YouTube-blokkolók, sötét témák stb.

„A Google és a Microsoft böngészőbővítmény-frissítési eljárásai miatt ezek a rosszindulatú verziók automatikusan, csendben települtek” – magyarázza a jelentés.

„Nem kellett adathalászatra vagy social engineeringre hagyatkozniuk. Egyszerűen csak megbízható bővítmények voltak, amelyek egy csöndes verzióemeléssel felügyeleti kártevővé váltak.”

A támadó sikeresen használta ki a nagy technológiai cégek platformjait, hogy széles körben terjessze a kártevőt, miközben az ellenőrzési folyamatok nem szűrték ki a rosszindulatú változásokat.

Mit csinál ez a trójai?
A kártevő titokban minden új weboldal-látogatásnál aktiválódik, és a háttérben figyeli a tevékenységet. A támadók célja, hogy a felhasználókat rosszindulatú weboldalakra irányítsák át, amelyek akár az eredeti oldalakat utánzó adathalász oldalak is lehetnek.

A kártevő rögzíti a meglátogatott weboldalak eredeti URL-jét, elküldi egy távoli, támadók által irányított szerverre egyedi azonosítóval együtt, majd a vezérlőszerver egy átirányítási URL-t ad vissza. Ha erre utasítják, a kompromittált bővítmény automatikusan átirányítja a felhasználót a rosszindulatú oldalra, ami további károkat okozhat.

Közben mind a tizennyolc csaló bővítmény azt teszi, amit ígér: színt választ, videósebességet szabályoz, hangerőt növel stb. A támadók bármikor kihasználhatják ezt a „man-in-the-middle” lehetőséget: például amikor Zoom-meghívót kap a felhasználó, átirányíthatják egy hamis „kritikus Zoom-frissítés” letöltésére, vagy egy, a banki bejelentkező oldal tökéletes másolatára, hogy megszerezzék a belépési adatokat.

Mindegyik bővítmény különböző domaineken működött, mintha külön fejlesztők lennének mögöttük, valójában azonban ugyanazt a központi támadási infrastruktúrát használták.

A Koi Security kutatói sürgetik a következő bővítmények azonnali eltávolítását a Chrome és Edge böngészőkből:

Chrome:

• Emoji keyboard online – copy&paste your emoji
• Free Weather Forecast
• Video Speed Controller – Video Manager
• Unlock Discord – VPN Proxy to Unblock Discord Anywhere
• Dark Theme – Dark Reader for Chrome
• Volume Max – Ultimate Sound Booster
• Unblock TikTok – Seamless Access with One-Click Proxy
• Unlock YouTube VPN
• Color Picker, Eyedropper – Geco colorpick
• Weather

Edge:

• Unlock TikTok
• Volume Booster – Increase your sound
• Web Sound Equalizer
• Header Value
• Flash Player – games emulator
• Youtube Unblocked
• SearchGPT – ChatGPT for Search Engine
• Unlock Discord

További védekezési lépések közé tartozik a böngészőadatok törlése, hogy eltávolítsuk a tárolt rosszindulatú linkeket és követési azonosítókat, egy teljes rendszereszköz-vizsgálat futtatása további fertőzések felderítése érdekében, valamint a fiókok fokozott figyelése gyanús tevékenység esetén.

A kutatók azt javasolják, hogy minden felhasználó vizsgálja felül az összes telepített bővítményét, és távolítsa el a nem kívánt kiegészítőket. Figyeljünk a gyanús viselkedésre – egy korábban megbízható bővítmény is átkerülhet más fejlesztőhöz, és egyetlen frissítéssel rosszindulatúvá válhat.

Bár a káros bővítményeket úgy tűnik, már eltávolították az áruházakból, néhány, a jelentésben felsorolt, támadók által irányított domain továbbra is aktív, és rosszindulatú eszközöket hirdet.