Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   В Chrome Web Store нашли вредоносные расширения, установленные 1,7 млн раз (http://txgate.io:443/showthread.php?t=51301839)

Artifact 07-16-2025 08:51 AM
<div id="post_message_802095">

Специалисты<a href="https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5" target="_blank"> Koi Security</a> обнаружили 11 вредоносных расширений в официальном магазине Chrome Web Store. Расширения могли следить за действиями пользователей, собирать данные об активности браузера и перенаправлять на потенциально опасные сайты.<br/>
<br/>
Большинство вредоносных расширений, задействованных в кампании, получившей имя RedDirection, действительно предоставляли заявленную функциональность. В основном они маскировались под обычные инструменты, такие как подборщик цветов, VPN, увеличитель громкости и эмодзи-клавиатуру.<br/>
<br/>
Хотя исследователи уведомили представителей Google о малвари, некоторые расширения по-прежнему доступны в Chrome Web Store.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/535281/1wou2oUyjxh74LkAMirx0ng-scaled.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Одно из вредоносных расширений

</td>
</tr>
</table>
</div>Многие из опасных расширений были верифицированы, имеют сотни положительных отзывов и продвигались в магазине Chrome, вводя пользователей в заблуждение.<br/>
<br/>
Эксперты рекомендуют пользователям проверить наличие следующих расширений. Если они установлены, их следует удалить как можно скорее:<ul><li>Color Picker, Eyedropper - Geco colorpick;</li>
</ul><ul><li>Emoji keyboard online - copy&amp;paste your emoji;</li>
</ul><ul><li>Free Weather Forecast;</li>
</ul><ul><li>Video Speed Controller - Video manager;</li>
</ul><ul><li>Unlock Discord - VPN Proxy to Unblock Discord Anywhere;</li>
</ul><ul><li>Dark Theme - Dark Reader for Chrome;</li>
</ul><ul><li>Volume Max - Ultimate Sound Booster;</li>
</ul><ul><li>Unblock TikTok - Seamless Access with One-Click Proxy;</li>
</ul><ul><li>Unlock YouTube VPN;</li>
</ul><ul><li>Unlock TikTok;</li>
</ul>Интересно, что в прошлом месяце расширение Volume Max - Ultimate Sound Booster уже <a href="https://layerxsecurity.com/blog/sleeper-sound-layerx-uncovers-malicious-sleeper-sound-management-extensions-with-nearly-1-5-million-users-worldwide/" target="_blank">привлекало внимание</a> специалистов из LayerX. Исследователи предупреждали, что оно может шпионить за пользователями, однако тогда вредоносная активность еще не была подтверждена.<br/>
<br/>
По словам исследователей, вредоносная функциональность расширений реализована в фоновом сервис-воркере с помощью Chrome Extensions API. Он регистрирует лиснер (listener), который срабатывает каждый раз, когда пользователь переходит на новую страницу. Этот лиснер перехватывает URL посещенного сайта и передает его на удаленный сервер вместе с уникальным ID, по которому можно отслеживать конкретного пользователя.<br/>
<br/>
В ответ сервер может прислать URL для редиректа, и таким образом злоумышленники могут перехватывать сессии и направлять пользователей на опасные сайты, которые используются в атаках. Однако в ходе тестирования специалисты Koi Security не зафиксировали подобных вредоносных редиректов.<br/>
<br/>
Как показал анализ, в первых версиях расширений вредоносного кода не было — он был внедрен позже, посредством обновлений. Более того, некоторые из расширений оставались безвредными несколько лет, поэтому исследователи не исключают, что их могли взломать или захватить третьи лица, которые и внедрили вредоносный код.<br/>
<br/>
Стоит отметить, что помимо опасных расширений для Google Chrome эксперты обнаружили ряд похожих вредоносных расширений для Microsoft Edge, установленных более 600 000 раз:<ul><li>Unlock TikTok;</li>
</ul><ul><li>Volume Booster — Increase your sound;</li>
</ul><ul><li>Web Sound Equalizer;</li>
</ul><ul><li>Header Value;</li>
</ul><ul><li>Flash Player — games emulator;</li>
</ul><ul><li>Youtube Unblocked;</li>
</ul><ul><li>SearchGPT — ChatGPT for Search Engine;</li>
</ul><ul><li>Unlock Discord.</li>
</ul><div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Суммарно эти восемнадцать расширений заразили более 2,3 млн пользователей двух браузеров. Из-за особенностей процесса обновления расширений в браузерах Google и Microsoft, вредоносные версии устанавливались незаметно и автоматически. Это одна из самых масштабных кампаний по взлому браузеров, с которыми нам доводилось сталкиваться», — пишут исследователи.</font>
</td>
</tr>
</table>
</div>Пользователям рекомендуется немедленно удалить все перечисленные расширения, очистить историю браузера, проверить систему на наличие малвари и следить за подозрительной активностью в своих аккаунтах.<br/>
<br/>
<a href="https://xakep.ru/2025/07/09/reddirection/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 01:13 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.