Аналитики компании Koi Security выявили масштабную кибератаку, получившую название RedDirection, в рамках которой злоумышленники распространили 18 вредоносных расширений через официальные магазины Chrome Web Store и Microsoft Edge Add-ons. Общее количество пострадавших пользователей превысило 2,3 миллиона человек.
Механизм работы вредоносных расширений
Особенностью кампании RedDirection стала изощренная маскировка под легитимные инструменты. Злоумышленники создали расширения, имитирующие популярные утилиты: подборщики цветов, VPN-сервисы, усилители звука и эмодзи-клавиатуры. Эти приложения действительно выполняли заявленные функции, что значительно затрудняло их обнаружение.
Техническая реализация вредоносного функционала базировалась на фоновом сервис-воркере, использующем Chrome Extensions API. Система работала следующим образом: каждый переход пользователя на новую веб-страницу активировал специальный обработчик событий, который перехватывал URL посещаемого ресурса и передавал его на удаленный сервер вместе с уникальным идентификатором пользователя.
Масштабы заражения и география атаки
Исследование показало, что 11 расширений были размещены в Chrome Web Store, а еще 7 — в магазине Microsoft Edge. Суммарное количество установок превысило 600 000 для расширений Edge и значительно больше для Chrome-дополнений. Многие из зараженных расширений имели официальную верификацию, сотни положительных отзывов и активно продвигались в магазинах приложений.
Примечательно, что одно из расширений — Volume Max — Ultimate Sound Booster — уже привлекало внимание специалистов LayerX в предыдущем месяце из-за подозрительной активности, однако тогда вредоносное поведение не было окончательно подтверждено.
Эволюция угрозы и методы внедрения
Детальный анализ показал, что первоначальные версии расширений были абсолютно безопасными. Вредоносный код внедрялся через обновления, причем некоторые расширения оставались легитимными в течение нескольких лет. Это указывает на возможность компрометации аккаунтов разработчиков или полного захвата проектов третьими лицами.
Автоматический механизм обновления расширений в браузерах Google Chrome и Microsoft Edge способствовал незаметному распространению вредоносного кода. Пользователи получали зараженные версии без какого-либо предупреждения или возможности предотвратить установку.
Потенциальные последствия и риски
Хотя во время тестирования исследователи не зафиксировали активных вредоносных перенаправлений, инфраструктура атаки предоставляла злоумышленникам широкие возможности для:
Мониторинга пользовательской активности — полное отслеживание посещаемых веб-сайтов и создание детальных профилей интересов пользователей. Перехвата пользовательских сессий — потенциальная возможность перенаправления на фишинговые ресурсы или сайты с эксплойтами. Сбора конфиденциальной информации — анализ паттернов поведения для последующих целенаправленных атак.
Рекомендации по защите и восстановлению
Пользователям, которые могли установить подозрительные расширения, рекомендуется незамедлительно выполнить следующие действия: провести аудит установленных расширений и удалить все подозрительные дополнения, очистить историю браузера, кэш и сохраненные данные, выполнить полное сканирование системы актуальным антивирусным программным обеспечением.
Кампания RedDirection демонстрирует критическую важность тщательной проверки расширений браузера перед установкой, даже если они размещены в официальных магазинах. Регулярный мониторинг установленных дополнений и своевременное удаление неиспользуемых расширений существенно снижают риски компрометации. Данный инцидент подчеркивает необходимость усиления контроля безопасности со стороны операторов магазинов приложений и разработки более эффективных механизмов обнаружения вредоносного кода в обновлениях.
