行业新闻与博客

Koi Security 的安全研究人员团队发现了一组 18 个恶意浏览器扩展程序，这些扩展程序仍然可以在 Google Chrome 和 Microsoft Edge 上下载。

这些扩展程序伪装成不同类别的生产力和娱乐工具，包括表情符号键盘、天气预报、视频速度控制器、Discord 和 TikTok 的 VPN 代理、黑暗主题、音量增强器和 YouTube 解锁器。

它们都声称提供功能性服务，但实际上却暗中实施浏览器监控和劫持。迄今为止，它们已感染了超过 230 万浏览器用户。

其中一些扩展程序已通过谷歌和微软的验证，或在 Chrome 网上应用店或 Edge 附加组件商店中占据特色位置。

虽然每个扩展程序都使用自己的命令和控制子域进行操作，看起来像是独立的操作员，但研究人员发现，这 18 个扩展程序都是同一集中式攻击基础设施的一部分。

该活动被称为 RedDirection，Koi Security 在 7 月 8 日Dardikman 的 Medium 页面上的一份报告中分享了他们的调查结果。

合法扩展在后续更新中变为恶意扩展

Koi Security 研究人员发现的第一个扩展名为“Color Picker, Eyedropper — Geco colorpick”，它是一个看似无害的 Chrome 扩展程序，安装量超过 100,000 次，评论超过 800 条。

实际上，此扩展程序还提供了恶意的命令和控制 (C2) 后门，允许攻击者跟踪其用户访问的每个网站。

发现此扩展后，Idan Dardikman 和 Koi Security 的研究员同事进行了更深入的研究。

他们发现了 11 个 Chrome 扩展程序和 7 个 Edge 扩展程序具有类似功能。

为了避免被谷歌和微软的安全过滤器阻止，RedDirection 扩展最初是作为干净的扩展创建的，后来在后续版本中使用恶意软件进行更新，这些恶意软件会自动安装，无需用户输入 - 有时几年后才会发布初始版本。

Dardikman 解释道：“谷歌和微软的验证过程未能检测到 11 个不同扩展程序中的复杂恶意软件，而是通过验证徽章和特色展示向用户推广了几种恶意软件。”

添加到扩展中的恶意代码允许攻击者：

• 捕获用户访问的页面的 URL
• 将它们与用户的唯一跟踪 ID 一起发送到远程服务器
• 从 C2 服务器接收潜在的重定向 URL
• 按照指示自动重定向浏览器

达迪克曼在报告中写道，这次活动“完美地展示了复杂的威胁行为者如何利用我们所依赖的信任信号”。

对于安装了这 18 个恶意扩展程序之一的 Chrome 和 Edge 用户，Dardikman 建议立即删除它们，清除浏览器数据以删除存储的跟踪标识符，运行完整的系统恶意软件扫描以检查是否存在其他感染，并在访问敏感网站时监控其帐户是否存在任何可疑活动。

Koi Security 研究团队向谷歌和微软报告了他们的发现，但截至撰写本文时，两家公司均未做出回应。