Експерти з кібербезпеки з компанії Koi Security розкрили деталі масштабної атаки під назвою RedDirection, яка скомпрометувала понад 2,3 мільйона користувачів по всьому світу. Кіберзлочинці використали витончену схему поширення 18 шкідливих розширень через офіційні магазини Chrome Web Store та Microsoft Edge Add-ons, що робить цю атаку особливо небезпечною через високий рівень довіри користувачів до офіційних платформ.
Принцип дії шкідливих додатків
Унікальність операції RedDirection полягала в надзвичайно складній маскуванні під популярні інструменти. Атакуючі розробили розширення, які імітували засоби для вибору кольорів, VPN-клієнти, підсилювачі звуку та емодзі-клавіатури. Ці додатки повністю виконували заявлені функції, що значно ускладнювало їх виявлення навіть досвідченими користувачами.
З технічної точки зору, шкідливий функціонал реалізовувався через фонового сервіс-воркера з використанням Chrome Extensions API. Алгоритм працював наступним чином: кожне відвідування нової веб-сторінки активувало спеціальний обробник подій, який перехоплював URL-адресу та передавав її на віддалений сервер разом з унікальним ідентифікатором користувача.
Статистика ураження та географічне поширення
Дослідження показало, що 11 розширень було розміщено в Chrome Web Store, тоді як решта 7 знаходилися в магазині Microsoft Edge Add-ons. Загальна кількість встановлень для Edge-додатків перевищила 600 000, а для Chrome-розширень цей показник був значно вищим. Багато заражених додатків мали офіційну верифікацію, сотні позитивних відгуків та активно просувалися в магазинах.
Цікавим фактом є те, що розширення Volume Max – Ultimate Sound Booster вже привертало увагу дослідників LayerX місяцем раніше через підозрілу активність, проте тоді вредоносна поведінка не була остаточно підтверджена.
Еволюція загрози та методи впровадження
Поглиблений аналіз виявив, що початкові версії всіх розширень були абсолютно безпечними. Шкідливий код впроваджувався через автоматичні оновлення, причому деякі розширення залишалися легітимними протягом кількох років. Це свідчить про можливу компрометацію облікових записів розробників або повний захват проектів третіми особами.
Автоматичний механізм оновлення розширень у Google Chrome та Microsoft Edge сприяв непомітному поширенню вредоносного коду. Користувачі отримували заражені версії без будь-якого попередження або можливості запобігти встановленню.
Потенційні наслідки та ризики безпеки
Незважаючи на те, що під час тестування дослідники не зафіксували активних вредоносних перенаправлень, інфраструктура атаки надавала кіберзлочинцям широкі можливості. Основні ризики включали повний моніторинг користувацької активності з створенням детальних профілів інтересів, перехоплення користувацьких сесій з потенційним перенаправленням на фішингові ресурси, а також збір конфіденційної інформації для подальших цілеспрямованих атак.
Заходи безпеки та відновлення
Користувачам, які могли встановити підозрілі розширення, рекомендується негайно провести аудит усіх встановлених додатків та видалити підозрілі елементи. Також необхідно очистити історію браузера, кеш та збережені дані, а також виконати повне сканування системи актуальним антивірусним програмним забезпеченням.
Інцидент RedDirection демонструє критичну важливість ретельної перевірки розширень браузера перед встановленням, навіть якщо вони розміщені в офіційних магазинах. Регулярний моніторинг встановлених додатків та своєчасне видалення невикористовуваних розширень суттєво знижують ризики компрометації. Цей випадок підкреслює необхідність посилення контролю безпеки з боку операторів магазинів додатків та розробки більш ефективних механізмів виявлення вредоносного коду в оновленнях.
