668 145 480 info@jacekjagusiak.pl

Wyobraź sobie, że masz na swojej przeglądarce kilka fajnych rozszerzeń – może to być coś prostego, jak narzędzie do wybierania kolorów albo dodatek do poprawy jakości dźwięku. Wszystko działa dobrze, zaufane, popularne, a nawet z pozytywnymi opiniami. I nagle – bez twojej wiedzy – dostajesz aktualizację, która zmienia te narzędzia w niebezpieczne trojany. Tak właśnie wyglądała jedna z największych kampanii infekowania użytkowników przeglądarek, jaka miała miejsce ostatnio.

Badacze bezpieczeństwa z Koi Security ostrzegają, że aż osiemnaście rozszerzeń, które wcześniej były czyste jak łza, nagle dostało aktualizację, w której pojawił się złośliwy kod. To sprawiło, że ponad 2,3 miliona osób korzystających z Chrome i Edge zostało narażonych na poważne zagrożenie. I co gorsza – może być ich jeszcze więcej.

Co ciekawe, jedno z tych rozszerzeń, „Color Picker, Eyedropper – Geco colorpick”, było nawet oznaczone jako zweryfikowane przez Google, miało ponad 800 recenzji i wyróżnione miejsce w Chrome Web Store. To tylko pokazuje, jak sprytni byli atakujący.

Badacze opisują tę kampanię jako „RedDirection” – przemyślaną i dobrze zaprojektowaną operację, która z jednej strony dawała użytkownikom dokładnie to, czego oczekiwali (np. funkcjonalny wybór kolorów), ale jednocześnie przejmowała kontrolę nad przeglądarką, śledziła każde odwiedzane miejsce w sieci i otwierała tylne drzwi dla cyberprzestępców.

Te osiemnaście rozszerzeń na początku nie było złowrogie – to były popularne dodatki do poprawy wygody, takie jak klawiatury emoji, prognozy pogody, kontrolery prędkości wideo, wzmacniacze głośności, bloker YouTube’a czy ciemne motywy. Ale właśnie ta popularność i zaufanie użytkowników zostały wykorzystane na ich niekorzyść.

Sprawdź także:  Search Console - pomoc, czyli Google nareszcie pomaga, nie tylko szkodzi użytkownikom

Mechanizm aktualizacji przeglądarek Google i Microsoft sprawił, że złośliwe wersje tych rozszerzeń zainstalowały się niemal niezauważalnie, bez żadnych ostrzeżeń. Nie było żadnego phishingu ani prób manipulacji użytkownikiem – po prostu „ciche” aktualizacje, które zmieniały znane narzędzia w programy szpiegujące.

Co dokładnie robi ten trojan?

Złośliwe oprogramowanie aktywuje się za każdym razem, gdy użytkownik odwiedza nową stronę internetową. W tle monitoruje, gdzie się poruszasz, i może przekierować cię na niebezpieczne strony – na przykład fałszywe wersje banków lub strony wyłudzające dane. Zbiera też oryginalny adres odwiedzanej witryny, wysyła go na serwer kontrolowany przez hakerów wraz z unikalnym identyfikatorem twojego urządzenia, a następnie serwer może zlecić przekierowanie na wybrany, złośliwy adres.

I co najciekawsze – pomimo tych wszystkich „podstępów”, każde z tych osiemnastu rozszerzeń dalej działało tak, jak użytkownik oczekiwał. Jeśli miałeś narzędzie do wybierania kolorów, to ono nadal działało, kontrolery prędkości wideo nadal regulowały odtwarzanie, a wzmacniacze głośności podkręcały dźwięk. To właśnie sprawiało, że użytkownicy nie mieli podejrzeń.

Atakujący mieli spory plan – rozszerzenia działały pod różnymi domenami, co dawało wrażenie, że stoją za nimi różni twórcy. W rzeczywistości jednak cała operacja była zarządzana z jednego centralnego centrum dowodzenia.

Koi Security zaleca natychmiastowe usunięcie poniższych rozszerzeń z przeglądarek Chrome i Edge:

Chrome:

  • Emoji keyboard online – copy&paste your emoji
  • Free Weather Forecast
  • Video Speed Controller – Video Manager
  • Unlock Discord – VPN Proxy to Unblock Discord Anywhere
  • Dark Theme – Dark Reader for Chrome
  • Volume Max – Ultimate Sound Booster
  • Unblock TikTok – Seamless Access with One-Click Proxy
  • Unlock YouTube VPN
  • Color Picker, Eyedropper – Geco colorpick
  • Weather
Sprawdź także:  Nie usuwaj starego pliku Disavov przed wgraniem nowej wersji!

Edge:

  • Unlock TikTok
  • Volume Booster – Increase your sound
  • Web Sound Equalizer
  • Header Value
  • Flash Player – games emulator
  • Youtube Unblocked
  • SearchGPT – ChatGPT for Search Engine
  • Unlock Discord

Poza tym warto wyczyścić dane przeglądarki, aby usunąć wszelkie zapisane ślady złośliwych linków i identyfikatorów śledzących, a także przeskanować cały system antywirusem, by wykluczyć inne infekcje. Nie zapomnij też uważnie monitorować swoich kont internetowych pod kątem dziwnych aktywności.

Pamiętaj, że nawet zaufane rozszerzenia mogą się zmienić w zagrożenie po jednej cichej aktualizacji. Dlatego regularnie przeglądaj listę swoich dodatków i usuwaj te, których nie używasz lub które wyglądają podejrzanie.

Chociaż wiele z tych złośliwych rozszerzeń zostało już usuniętych ze sklepów, niektóre serwery kontrolujące atakujące domeny wciąż działają i reklamują niebezpieczne narzędzia.

Zachowaj czujność, bądź na bieżąco z aktualizacjami bezpieczeństwa i dbaj o to, co masz zainstalowane w przeglądarce – bo czasem największe zagrożenie czai się tam, gdzie najmniej się spodziewasz.