行業新聞與部落格
研究人員發現 18 個偽裝成日常工具的惡意 Chrome 和 Edge 擴充程式
Koi Security 的安全研究人員團隊發現了一組 18 個惡意瀏覽器擴充程式,這些擴充程式仍然可以在 Google Chrome 和 Microsoft Edge 上下載。
這些擴充程式偽裝成不同類別的生產力和娛樂工具,包括表情符號鍵盤、天氣預報、影片速度控制器、Discord 和 TikTok 的 VPN 代理、黑暗主題、音量增強器和 YouTube 解鎖器。
它們都聲稱提供功能性服務,但實際上卻暗中實施瀏覽器監控和劫持。迄今為止,它們已感染了超過 230 萬瀏覽器使用者。
其中一些擴充程式已透過谷歌和微軟的驗證,或在 Chrome 網上應用店或 Edge 附加元件商店中佔據特色位置。
雖然每個擴充程式都使用自己的命令和控制子域進行操作,看起來像是獨立的操作員,但研究人員發現,這 18 個擴充程式都是同一集中式攻擊基礎設施的一部分。
該活動被稱為 RedDirection,Koi Security 在 7 月 8 日Dardikman 的 Medium 頁面上的一份報告中分享了他們的調查結果。
合法擴充在後續更新中變為惡意擴充
Koi Security 研究人員發現的第一個擴充名為“Color Picker, Eyedropper — Geco colorpick”,它是一個看似無害的 Chrome 擴充程式,安裝量超過 100,000 次,評論超過 800 條。
實際上,此擴充程式還提供了惡意的命令和控制 (C2) 後門,允許攻擊者跟蹤其使用者訪問的每個網站。
發現此擴充後,Idan Dardikman 和 Koi Security 的研究員同事進行了更深入的研究。
他們發現了 11 個 Chrome 擴充程式和 7 個 Edge 擴充程式具有類似功能。
為了避免被谷歌和微軟的安全過濾器阻止,RedDirection 擴充最初是作為乾淨的擴充建立的,後來在後續版本中使用惡意軟體進行更新,這些惡意軟體會自動安裝,無需使用者輸入 - 有時幾年後才會釋出初始版本。
Dardikman 解釋道:“谷歌和微軟的驗證過程未能檢測到 11 個不同擴充程式中的複雜惡意軟體,而是透過驗證徽章和特色展示向用戶推廣了幾種惡意軟體。”
新增到擴充中的惡意程式碼允許攻擊者:
- 捕獲使用者訪問的頁面的 URL
- 將它們與使用者的唯一跟蹤 ID 一起傳送到遠端伺服器
- 從 C2 伺服器接收潛在的重定向 URL
- 按照指示自動重定向瀏覽器
達迪克曼在報告中寫道,這次活動“完美地展示了複雜的威脅行為者如何利用我們所依賴的信任訊號”。
對於安裝了這 18 個惡意擴充程式之一的 Chrome 和 Edge 使用者,Dardikman 建議立即刪除它們,清除瀏覽器資料以刪除儲存的跟蹤識別符號,執行完整的系統惡意軟體掃描以檢查是否存在其他感染,並在訪問敏感網站時監控其帳戶是否存在任何可疑活動。
Koi Security 研究團隊向谷歌和微軟報告了他們的發現,但截至撰寫本文時,兩家公司均未做出回應。
最近新聞
2025年07月09日
2025年07月09日
2025年07月09日
2025年06月10日
2025年06月10日
2025年06月04日
2025年05月19日
2025年05月19日
需要幫助嗎?聯絡我們的支援團隊 線上客服