This post is also available in:
English (אנגלית)
קמפיין רחב-היקף של פריצה לדפדפנים הצליח להדביק בשקט מיליוני משתמשים, באמצעות ניצול של תוספים מוכרים ואמינים לדפדפני Chrome ו-Edge. חוקרי אבטחה מחברת Koi Security חשפו מבצע מתואם בשם RedDirection שבו 18 תוספים, שבעבר נחשבו לבטוחים ואף אומתו, עברו עדכון גרסה שקט שכלל קוד מזיק.
על פי הדו"ח, התוספים שנפגעו – שכללו כלים לבחירת צבעים, שליטה בווידאו, מקלדת אימוג'י וגישה ל-VPN פעלו בתחילה כמצופה. במשך חודשים, ובחלק מהמקרים אף שנים, הקוד שלהם נותר נקי. אך לאחר עדכון גרסה, הם הפכו לתוכנות זדוניות בסגנון טרויאני – ללא כל אינטראקציה מצד המשתמש או התראות גלויות.
חלק מהתוספים שזוהו בדו"ח נשאו בעבר סמל אימות של גוגל, קיבלו מאות ביקורות חיוביות ואף הופיעו בהמלצות בחנות התוספים של Chrome. השינוי שחל בהם התרחש מבלי שמשתמשים הבחינו בכך, וללא זיהוי מצד מנגנוני האבטחה של הפלטפורמה.
לאחר העדכון, התוספים החלו לנטר פעילות דפדפן בזמן אמת. בכל פעם שמשתמש פתח אתר, התוסף לכד את כתובת ה-URL המקורית ושלח אותה יחד עם מזהה ייחודי לשרת שליטה ובקרה מרוחק. בהוראה מהשרת, התוסף אף היה מסוגל להפנות את המשתמש לאתר פישינג או אתר זדוני, תוך סיכון של גניבת אישורי גישה או התקנה של תוכנות זדוניות נוספות.
באופן מעניין, התוספים שמרו על מלוא הפונקציונליות המקורית שלהם, והמשיכו להציע את הפיצ'רים המוצהרים. ההתנהגות הדו-כיוונית הזו הקשתה על המשתמשים לזהות את האיום ואפשרה לתוקפים לנצל בסיס התקנות רחב מבלי לעורר חשד.
החוקרים ציינו כי העדכונים הזדוניים הופצו דרך מנגנון העדכון הסטנדרטי של התוספים, ללא פישינג או מניפולציה מצד המשתמש. כתוצאה מכך, גם משתמשים זהירים שהתקינו רק תוספים מדורגים היטב ועם ביקורות חיוביות – נחשפו לסיכון.
כל 18 התוספים הוסרו כעת מחנויות התוספים של Chrome ו-Edge, אך חלק מהדומיינים המקושרים נותרו פעילים. Koi Security ממליצה למשתמשים להסיר מיד כל אחד מהתוספים שברשימה, לנקות את נתוני הדפדפן, להריץ סריקות אנטי-וירוס מקיפות, ולבדוק את רשימת התוספים המותקנים לאיתור פעילות חשודה.
