Wyobraź sobie, że masz na swojej przeglądarce kilka fajnych rozszerzeń – może to być coś prostego, jak narzędzie do wybierania kolorów albo dodatek do poprawy jakości dźwięku. Wszystko działa dobrze, zaufane, popularne, a nawet z pozytywnymi opiniami. I nagle – bez twojej wiedzy – dostajesz aktualizację, która zmienia te narzędzia w niebezpieczne trojany. Tak właśnie wyglądała jedna z największych kampanii infekowania użytkowników przeglądarek, jaka miała miejsce ostatnio.
Badacze bezpieczeństwa z Koi Security ostrzegają, że aż osiemnaście rozszerzeń, które wcześniej były czyste jak łza, nagle dostało aktualizację, w której pojawił się złośliwy kod. To sprawiło, że ponad 2,3 miliona osób korzystających z Chrome i Edge zostało narażonych na poważne zagrożenie. I co gorsza – może być ich jeszcze więcej.
Co ciekawe, jedno z tych rozszerzeń, „Color Picker, Eyedropper – Geco colorpick”, było nawet oznaczone jako zweryfikowane przez Google, miało ponad 800 recenzji i wyróżnione miejsce w Chrome Web Store. To tylko pokazuje, jak sprytni byli atakujący.
Badacze opisują tę kampanię jako „RedDirection” – przemyślaną i dobrze zaprojektowaną operację, która z jednej strony dawała użytkownikom dokładnie to, czego oczekiwali (np. funkcjonalny wybór kolorów), ale jednocześnie przejmowała kontrolę nad przeglądarką, śledziła każde odwiedzane miejsce w sieci i otwierała tylne drzwi dla cyberprzestępców.
Te osiemnaście rozszerzeń na początku nie było złowrogie – to były popularne dodatki do poprawy wygody, takie jak klawiatury emoji, prognozy pogody, kontrolery prędkości wideo, wzmacniacze głośności, bloker YouTube’a czy ciemne motywy. Ale właśnie ta popularność i zaufanie użytkowników zostały wykorzystane na ich niekorzyść.
Mechanizm aktualizacji przeglądarek Google i Microsoft sprawił, że złośliwe wersje tych rozszerzeń zainstalowały się niemal niezauważalnie, bez żadnych ostrzeżeń. Nie było żadnego phishingu ani prób manipulacji użytkownikiem – po prostu „ciche” aktualizacje, które zmieniały znane narzędzia w programy szpiegujące.
Co dokładnie robi ten trojan?
Złośliwe oprogramowanie aktywuje się za każdym razem, gdy użytkownik odwiedza nową stronę internetową. W tle monitoruje, gdzie się poruszasz, i może przekierować cię na niebezpieczne strony – na przykład fałszywe wersje banków lub strony wyłudzające dane. Zbiera też oryginalny adres odwiedzanej witryny, wysyła go na serwer kontrolowany przez hakerów wraz z unikalnym identyfikatorem twojego urządzenia, a następnie serwer może zlecić przekierowanie na wybrany, złośliwy adres.
I co najciekawsze – pomimo tych wszystkich „podstępów”, każde z tych osiemnastu rozszerzeń dalej działało tak, jak użytkownik oczekiwał. Jeśli miałeś narzędzie do wybierania kolorów, to ono nadal działało, kontrolery prędkości wideo nadal regulowały odtwarzanie, a wzmacniacze głośności podkręcały dźwięk. To właśnie sprawiało, że użytkownicy nie mieli podejrzeń.
Atakujący mieli spory plan – rozszerzenia działały pod różnymi domenami, co dawało wrażenie, że stoją za nimi różni twórcy. W rzeczywistości jednak cała operacja była zarządzana z jednego centralnego centrum dowodzenia.
Koi Security zaleca natychmiastowe usunięcie poniższych rozszerzeń z przeglądarek Chrome i Edge:
Chrome:
- Emoji keyboard online – copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller – Video Manager
- Unlock Discord – VPN Proxy to Unblock Discord Anywhere
- Dark Theme – Dark Reader for Chrome
- Volume Max – Ultimate Sound Booster
- Unblock TikTok – Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper – Geco colorpick
- Weather
Edge:
- Unlock TikTok
- Volume Booster – Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player – games emulator
- Youtube Unblocked
- SearchGPT – ChatGPT for Search Engine
- Unlock Discord
Poza tym warto wyczyścić dane przeglądarki, aby usunąć wszelkie zapisane ślady złośliwych linków i identyfikatorów śledzących, a także przeskanować cały system antywirusem, by wykluczyć inne infekcje. Nie zapomnij też uważnie monitorować swoich kont internetowych pod kątem dziwnych aktywności.
Pamiętaj, że nawet zaufane rozszerzenia mogą się zmienić w zagrożenie po jednej cichej aktualizacji. Dlatego regularnie przeglądaj listę swoich dodatków i usuwaj te, których nie używasz lub które wyglądają podejrzanie.
Chociaż wiele z tych złośliwych rozszerzeń zostało już usuniętych ze sklepów, niektóre serwery kontrolujące atakujące domeny wciąż działają i reklamują niebezpieczne narzędzia.
Zachowaj czujność, bądź na bieżąco z aktualizacjami bezpieczeństwa i dbaj o to, co masz zainstalowane w przeglądarce – bo czasem największe zagrożenie czai się tam, gdzie najmniej się spodziewasz.
Ostatnie komentarze