行業新聞與部落格

Koi Security 的安全研究人員團隊發現了一組 18 個惡意瀏覽器擴充程式，這些擴充程式仍然可以在 Google Chrome 和 Microsoft Edge 上下載。

這些擴充程式偽裝成不同類別的生產力和娛樂工具，包括表情符號鍵盤、天氣預報、影片速度控制器、Discord 和 TikTok 的 VPN 代理、黑暗主題、音量增強器和 YouTube 解鎖器。

它們都聲稱提供功能性服務，但實際上卻暗中實施瀏覽器監控和劫持。迄今為止，它們已感染了超過 230 萬瀏覽器使用者。

其中一些擴充程式已透過谷歌和微軟的驗證，或在 Chrome 網上應用店或 Edge 附加元件商店中佔據特色位置。

雖然每個擴充程式都使用自己的命令和控制子域進行操作，看起來像是獨立的操作員，但研究人員發現，這 18 個擴充程式都是同一集中式攻擊基礎設施的一部分。

該活動被稱為 RedDirection，Koi Security 在 7 月 8 日Dardikman 的 Medium 頁面上的一份報告中分享了他們的調查結果。

合法擴充在後續更新中變為惡意擴充

Koi Security 研究人員發現的第一個擴充名為“Color Picker, Eyedropper — Geco colorpick”，它是一個看似無害的 Chrome 擴充程式，安裝量超過 100,000 次，評論超過 800 條。

實際上，此擴充程式還提供了惡意的命令和控制 (C2) 後門，允許攻擊者跟蹤其使用者訪問的每個網站。

發現此擴充後，Idan Dardikman 和 Koi Security 的研究員同事進行了更深入的研究。

他們發現了 11 個 Chrome 擴充程式和 7 個 Edge 擴充程式具有類似功能。

為了避免被谷歌和微軟的安全過濾器阻止，RedDirection 擴充最初是作為乾淨的擴充建立的，後來在後續版本中使用惡意軟體進行更新，這些惡意軟體會自動安裝，無需使用者輸入 - 有時幾年後才會釋出初始版本。

Dardikman 解釋道：“谷歌和微軟的驗證過程未能檢測到 11 個不同擴充程式中的複雜惡意軟體，而是透過驗證徽章和特色展示向用戶推廣了幾種惡意軟體。”

新增到擴充中的惡意程式碼允許攻擊者：

• 捕獲使用者訪問的頁面的 URL
• 將它們與使用者的唯一跟蹤 ID 一起傳送到遠端伺服器
• 從 C2 伺服器接收潛在的重定向 URL
• 按照指示自動重定向瀏覽器

達迪克曼在報告中寫道，這次活動“完美地展示了複雜的威脅行為者如何利用我們所依賴的信任訊號”。

對於安裝了這 18 個惡意擴充程式之一的 Chrome 和 Edge 使用者，Dardikman 建議立即刪除它們，清除瀏覽器資料以刪除儲存的跟蹤識別符號，執行完整的系統惡意軟體掃描以檢查是否存在其他感染，並在訪問敏感網站時監控其帳戶是否存在任何可疑活動。

Koi Security 研究團隊向谷歌和微軟報告了他們的發現，但截至撰寫本文時，兩家公司均未做出回應。