Cicha aktualizacja z malware w rozszerzeniach do Google Chrome i Microsoft Edge zainfekowała 2,3 mln użytkowników.

Kilkanaście złośliwych rozszerzeń do przeglądarki Google Chrome i Microsoft Edge mogło śledzić użytkowników, wykradać dane dotyczące aktywności w przeglądarce i przekierowywać do potencjalnie niebezpiecznych adresów internetowych. Były dostępne w oficjalnych sklepach Google i Microsoft. Łącznie zostały pobrane 2,3 miliona razy.

Większość dodatków zapewniało reklamowaną funkcjonalność udając legalne narzędzia, takie jak selektory kolorów, sieci VPN, narzędzia mające poprawić głośność i klawiatury emoji. Były zweryfikowane, miały setki pozytywnych recenzji.

Według badaczy z Koi Security złośliwa funkcja została zaimplementowana w tle każdego rozszerzenia przy użyciu API rozszerzeń Chrome, rejestrując moduł nasłuchujący, który uruchamia się za każdym razem, gdy użytkownik przechodzi do nowej strony internetowej.

Adres URL odwiedzanej strony zostaje przechwycony i przesłany do zdalnego serwera wraz z unikalnym identyfikatorem śledzenia dla każdego użytkownika. Serwer może odpowiedzieć przekierowaniem adresu URL, przejmując kontrolę nad aktywnością użytkownika w przeglądarce i potencjalnie przenosząc go do niebezpiecznych miejsc, które mogą umożliwić cyberataki.

Jak do tego doszło? Złośliwy kod nie był obecny w początkowych wersjach rozszerzeń, ale został wprowadzony później poprzez aktualizacje. System automatycznych aktualizacji Google po cichu wdraża najnowsze wersje dla użytkowników bez konieczności uzyskania zgody lub interakcji użytkownika. Biorąc pod uwagę, że niektóre z tych rozszerzeń były bezpieczne przez lata, możliwe jest, że zostały one przejęte/naruszone przez zewnętrzne podmioty, które wprowadziły złośliwy kod.

Opisywana przez Koi Security kampania ujawnia systemowe luki w zabezpieczeniach platform handlowych, które wykraczają daleko poza pojedyncze rozszerzenia.

❌ Proces weryfikacji Google i Microsoftu nie wykrył zaawansowanego złośliwego oprogramowania w osiemnastu różnych rozszerzeniach, a zamiast tego promował kilka z nich wśród użytkowników poprzez odznaki weryfikacyjne i wyróżnione pozycje.

❌ Podatność na ataki na łańcuch dostaw. Cyberprzestępcy mogą naruszyć ekosystem rozszerzeń, tworząc nowe złośliwe rozszerzenia lub wykorzystując wcześniej legalne rozszerzenia poprzez złośliwe aktualizacje.

❌ Cyberprzestępcy skutecznie wykorzystali wszystkie sygnały zaufania, na których polegają użytkownicy — odznaki weryfikacyjne, liczbę instalacji, wyróżnione pozycje, lata legalnej działalności i pozytywne recenzje — obracając mechanizmy wiarygodności platform przeciwko użytkownikom.

Poniżej udostępniamy IOCs wszystkich rozszerzeń. Sprawdźcie, czy przypadkiem nie macie jakiegoś zainstalowanego.

Wskaźniki IOC (Indicators of Compromise)

Google Chrome:

• kgmeffmlnkfnjpgmdndccklfigfhajen — [Emoji keyboard online — copy&paste your emoji.]
• dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [Free Weather Forecast]
• gaiceihehajjahakcglkhmdbbdclbnlf — [Video Speed Controller — Video manager]
• mlgbkfnjdmaoldgagamcnommbbnhfnhf — [Unlock Discord — VPN Proxy to Unblock Discord Anywhere]
• eckokfcjbjbgjifpcbdmengnabecdakp — [Dark Theme — Dark Reader for Chrome]
• mgbhdehiapbjamfgekfpebmhmnmcmemg — [Volume Max — Ultimate Sound Booster]
• cbajickflblmpjodnjoldpiicfmecmif — [Unblock TikTok — Seamless Access with One-Click Proxy]
• pdbfcnhlobhoahcamoefbfodpmklgmjm — [Unlock YouTube VPN]
• eokjikchkppnkdipbiggnmlkahcdkikp — [Color Picker, Eyedropper — Geco colorpick]
• ihbiedpeaicgipncdnnkikeehnjiddck — [Weather]

Microsoft Edge:

• jjdajogomggcjifnjgkpghcijgkbcjdi — [Unlock TikTok]
• mmcnmppeeghenglmidpmjkaiamcacmgm — [Volume Booster — Increase your sound]
• ojdkklpgpacpicaobnhankbalkkgaafp — [Web Sound Equalizer]
• lodeighbngipjjedfelnboplhgediclp — [Header Value]
• hkjagicdaogfgdifaklcgajmgefjllmd — [Flash Player — games emulator]
• gflkbgebojohihfnnplhbdakoipdbpdm — [Youtube Unblocked]
• kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT — ChatGPT for Search Engine]
• caibdnkmpnjhjdfnomfhijhmebigcelo — [Unlock Discord]

Podejrzewasz infekcję?

• Natychmiast usuń wszystkie rozszerzenia z przeglądarek Chrome i Edge.
• Wyczyść dane przeglądarki, aby usunąć zapisane identyfikatory śledzenia.
• Przeprowadź pełne skanowanie systemu.

~Natalia Idźkowska