Περισσότεροι από 2 εκατομμύρια χρήστες των προγραμμάτων περιήγησης Google Chrome και Microsoft Edge έχουν πέσει θύματα μιας, κατά τους ειδικούς της εταιρείας κυβερνοασφάλειας Koi Security, «προηγμένης» εκστρατείας κακόβουλου λογισμικού, η οποία περιγράφεται ως μία από τις μεγαλύτερες επιχειρήσεις αθέμιτης ανακατεύθυνσης προγραμμάτων περιήγησης που έχει εντοπίσει μέχρι σήμερα η εταιρεία.
Σύμφωνα με έκθεση της Koi Security στις 8 Ιουλίου, η εκστρατεία, που φέρει την ονομασία RedDirection, βασίστηκε σε ένα σύνολο 18 κακόβουλων επεκτάσεων για προγράμματα περιήγησης, οι οποίες ήταν διαθέσιμες για λήψη τόσο από το Chrome Web Store όσο και από το Microsoft Edge Add-ons. Όλες οι εμπλεκόμενες επεκτάσεις έχουν πλέον αφαιρεθεί από τις δύο πλατφόρμες.
Οι συγκεκριμένες επεκτάσεις εμφανίζονταν ως έγκυρα εργαλεία, προσφέροντας υπηρεσίες όπως VPN για πρόσβαση σε TikTok και Discord, παράκαμψη περιορισμών στο YouTube, προγνώσεις καιρού, ελεγκτές ταχύτητας βίντεο και πληκτρολόγια με emoji. Ωστόσο, σύμφωνα με τα ευρήματα της Koi Security, οι επεκτάσεις περιελάμβαναν μηχανισμούς κρυφής παρακολούθησης της περιήγησης των χρηστών, συλλέγοντας τις διευθύνσεις των ιστοσελίδων που επισκέπτονταν καθώς και μοναδικά αναγνωριστικά για σκοπούς εντοπισμού.
Όπως αναφέρεται στην έκθεση από τον Ίνταν Ντάρντικμαν της Koi Security, η εκστρατεία παρακολούθησης περιελάμβανε 2,3 εκατομμύρια χρήστες και δημιουργούσε μια εκτεταμένη, επίμονη δυνατότητα υποκλοπής τύπου «man-in-the-middle», όπου ένας «εισβολέας-ενδιάμεσος» μπορεί να παρακολουθεί, να υποκλέπτει ή και να αλλοιώνει τα δεδομένα που ανταλλάσσονται. Υπογράμμισε ότι κάθε κλικ, κάθε επίσκεψη σε ιστότοπο και κάθε ηλεκτρονική συναλλαγή θα μπορούσε να μετατραπεί σε πιθανό σημείο επίθεσης.
Το κακόβουλο λογισμικό, σύμφωνα με την εταιρεία, υλοποιεί έναν σύνθετο μηχανισμό ανακατεύθυνσης του προγράμματος περιήγησης, που ενεργοποιείται κάθε φορά που ο χρήστης επισκέπτεται μια νέα ιστοσελίδα. Καταγράφει τη διεύθυνση του ιστοτόπου και τη διαβιβάζει σε απομακρυσμένο διακομιστή, συνοδευόμενη από το μοναδικό αναγνωριστικό του χρήστη. Επιπλέον, οι δράστες μπορούν να προγραμματίσουν το κακόβουλο λογισμικό ώστε να ανακατευθύνει αυτόματα τον χρήστη σε άλλες ιστοσελίδες, οι οποίες ενδέχεται να είναι επιβλαβείς.
Η Koi Security, αν και δεν απέδωσε δημόσια την επιχείρηση σε συγκεκριμένο φορέα ή κρατική οντότητα, χαρακτήρισε το RedDirection ως μια άκρως οργανωμένη και ιδιαίτερα παραπλανητική επιχείρηση, που συγκαταλέγεται στις μεγαλύτερες που έχει καταγράψει μέχρι σήμερα. Σημειώθηκε επίσης ότι πολλές από τις επεκτάσεις λειτουργούσαν αρχικά όπως διαφημίζονταν, γεγονός που τους επέτρεψε να αποκτήσουν θετικές αξιολογήσεις και να αποφύγουν να εγείρουν υποψίες στους επίσημους καταλόγους των επεκτάσεων.
Ο Ντάρντικμαν ανέφερε ως παράδειγμα το σενάριο επίσκεψης σε τραπεζικό ιστότοπο, όπου η επέκταση θα μπορούσε να καταγράψει την αίτηση και να ανακατευθύνει τον χρήστη σε ένα πιστό αντίγραφο της σελίδας σύνδεσης, φιλοξενούμενο από τους κυβερνοεισβολείς. Έτσι, τα στοιχεία σύνδεσης του χρήστη θα κατέληγαν απευθείας στα χέρια των εγκληματιών.
Η εταιρεία συνέστησε στους χρήστες που έχουν εγκαταστήσει κάποια από τις 18 επεκτάσεις που σχετίζονται με την εκστρατεία RedDirection να τις αφαιρέσουν άμεσα, να διαγράψουν τα δεδομένα περιήγησής τους ώστε να απομακρυνθούν πιθανά αποθηκευμένα αναγνωριστικά και να προβούν σε πλήρη σάρωση του συστήματός τους για ανίχνευση πρόσθετων απειλών. Επιπλέον, συνέστησε την προσεκτική παρακολούθηση των λογαριασμών τους για ενδεχόμενη ύποπτη δραστηριότητα.
Έλεγχος που πραγματοποιήθηκε στα επίσημα καταστήματα επεκτάσεων τόσο της Google όσο και της Microsoft επιβεβαίωσε ότι οι 18 εμπλεκόμενες επεκτάσεις έχουν αφαιρεθεί και δεν είναι πλέον διαθέσιμες για λήψη.
Η εφημερίδα The Epoch Times απηύθυνε ερώτημα προς τις Google και Microsoft για σχόλια.
Ακολουθεί λίστα με τις 18 γνωστές κακόβουλες επεκτάσεις που συνδέονται με την εκστρατεία RedDirection, μαζί με τα μοναδικά τους αναγνωριστικά:
Επεκτάσεις Chrome
- Emoji keyboard online—Αντιγραφή & επικόλληση emoji (ID: kgmeffmlnkfnjpgmdndccklfigfhajen)
- Free Weather Forecast (ID: dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
- Video Speed Controller—Διαχειριστής βίντεο (ID: gaiceihehajjahakcglkhmdbbdclbnlf)
- Unlock Discord—VPN Proxy για να ξεμπλοκάρετε το Discord οπουδήποτε (ID: mlgbkfnjdmaoldgagamcnommbbnhfnhf)
- Dark Theme—Σκουρόχρωμη λειτουργία για Chrome (ID: eckokfcjbjbgjifpcbdmengnabecdakp)
- Volume Max—Απόλυτος ενισχυτής ήχου (ID: mgbhdehiapbjamfgekfpebmhmnmcmemg)
- Unblock TikTok—Απρόσκοπτη πρόσβαση με One-Click Proxy (ID: cbajickflblmpjodnjoldpiicfmecmif)
- Unlock YouTube VPN (ID: pdbfcnhlobhoahcamoefbfodpmklgmjm)
- Color Picker, Eyedropper—Επιλογή χρωμάτων Geco (ID: eokjikchkppnkdipbiggnmlkahcdkikp)
- Weather (ID: ihbiedpeaicgipncdnnkikeehnjiddck)
Επεκτάσεις Edge
- Unlock TikTok(ID: jjdajogomggcjifnjgkpghcijgkbcjdi)
- Volume Booster—Αύξηση ήχου (ID: mmcnmppeeghenglmidpmjkaiamcacmgm)
- Web Sound Equalizer (ID: ojdkklpgpacpicaobnhankbalkkgaafp)
- Header Value (ID: lodeighbngipjjedfelnboplhgediclp)
- Flash Player—Εξομοιωτής ηλεκτρονικών παιχνιδιών (ID: hkjagicdaogfgdifaklcgajmgefjllmd)
- Youtube Unblocked (ID: gflkbgebojohihfnnplhbdakoipdbpdm)
- SearchGPT—ChatGPT για μηχανή αναζήτησης (ID: kpilmncnoafddjpnbhepaiilgkdcieaf)
- Unlock Discord (ID: caibdnkmpnjhjdfnomfhijhmebigcelo)
