行業新聞與博客

Koi Security 的安全研究人員團隊發現了一組 18 個惡意瀏覽器擴展程序，這些擴展程序仍然可以在 Google Chrome 和 Microsoft Edge 上下載。

這些擴展程序偽裝成不同類別的生產力和娛樂工具，包括表情符號鍵盤、天氣預報、視頻速度控制器、Discord 和 TikTok 的 VPN 代理、黑暗主題、音量增強器和 YouTube 解鎖器。

它們都聲稱提供功能性服務，但實際上卻暗中實施瀏覽器監控和劫持。迄今為止，它們已感染了超過 230 萬瀏覽器用户。

其中一些擴展程序已通過谷歌和微軟的驗證，或在 Chrome 網上應用店或 Edge 附加組件商店中佔據特色位置。

雖然每個擴展程序都使用自己的命令和控制子域進行操作，看起來像是獨立的操作員，但研究人員發現，這 18 個擴展程序都是同一集中式攻擊基礎設施的一部分。

該活動被稱為 RedDirection，Koi Security 在 7 月 8 日Dardikman 的 Medium 頁面上的一份報告中分享了他們的調查結果。

合法擴展在後續更新中變為惡意擴展

Koi Security 研究人員發現的第一個擴展名為“Color Picker, Eyedropper — Geco colorpick”，它是一個看似無害的 Chrome 擴展程序，安裝量超過 100,000 次，評論超過 800 條。

實際上，此擴展程序還提供了惡意的命令和控制 (C2) 後門，允許攻擊者跟蹤其用户訪問的每個網站。

發現此擴展後，Idan Dardikman 和 Koi Security 的研究員同事進行了更深入的研究。

他們發現了 11 個 Chrome 擴展程序和 7 個 Edge 擴展程序具有類似功能。

為了避免被谷歌和微軟的安全過濾器阻止，RedDirection 擴展最初是作為乾淨的擴展創建的，後來在後續版本中使用惡意軟件進行更新，這些惡意軟件會自動安裝，無需用户輸入 - 有時幾年後才會發佈初始版本。

Dardikman 解釋道：“谷歌和微軟的驗證過程未能檢測到 11 個不同擴展程序中的複雜惡意軟件，而是通過驗證徽章和特色展示向用户推廣了幾種惡意軟件。”

添加到擴展中的惡意代碼允許攻擊者：

• 捕獲用户訪問的頁面的 URL
• 將它們與用户的唯一跟蹤 ID 一起發送到遠程服務器
• 從 C2 服務器接收潛在的重定向 URL
• 按照指示自動重定向瀏覽器

達迪克曼在報告中寫道，這次活動“完美地展示了複雜的威脅行為者如何利用我們所依賴的信任信號”。

對於安裝了這 18 個惡意擴展程序之一的 Chrome 和 Edge 用户，Dardikman 建議立即刪除它們，清除瀏覽器數據以刪除存儲的跟蹤標識符，運行完整的系統惡意軟件掃描以檢查是否存在其他感染，並在訪問敏感網站時監控其帳户是否存在任何可疑活動。

Koi Security 研究團隊向谷歌和微軟報告了他們的發現，但截至撰寫本文時，兩家公司均未做出回應。