Вы просто хотели выбрать цвет на сайте. Но случайно выбрали себе шпиона в браузер
NewsMakerВсё, что вы делали онлайн — маршруты, пароли, переписка — теперь у тех, кто спрятался под иконкой пипетки.
На первый взгляд — обычное расширение для браузера. Приятный интерфейс, понятная функция выбора цвета с экрана, высокий рейтинг, множество положительных отзывов. Но за этой безобидной оболочкой скрывался тщательно продуманный троянец , который внедрял в браузеры пользователей скрытые механизмы слежки. Аналитики из Koi Security выяснили, что популярное дополнение Color Picker, Eyedropper — Geco colorpick, размещённое в каталогах Chrome и Edge, стало частью масштабной вредоносной операции под названием RedDirection.
Geco colorpick загрузили более 100 000 человек. У него отличная репутация — 4.2 балла, свыше 800 рецензий, отметка «рекомендуемое» в Chrome Web Store, аналогичный статус в Microsoft Edge Add-ons. Но вместо заявленного функционала плагин давал злоумышленникам доступ к действиям пользователя, пересылал данные на удалённый сервер и мог перенаправлять трафик по внешней команде.
Созданный инструмент действительно выполнял заявленную задачу: он позволял определить оттенок с любого участка страницы и сохранить его в буфер обмена. Это удобно для дизайнеров, верстальщиков, иллюстраторов. Но за рабочей функцией скрывалась совсем другая цель.
Причём Color Picker был не один. Исследователи выявили 18 модулей — для Chrome и Edge — с аналогичным скрытым поведением. Общее число заражённых браузеров превысило 2,3 миллиона — это одна из крупнейших зафиксированных кампаний такого рода.
По словам аналитика Koi Security Идана Дардикмана, RedDirection не выглядит как любительская разработка. Это многоходовая, профессионально организованная операция. На ранних этапах дополнения вели себя безупречно — работали как положено и не вызывали подозрений. Только через несколько циклов обновлений в них начинали внедрять вредоносный код. За счёт особенностей автозагрузки в Chrome и Edge, подменённые версии устанавливались незаметно — автоматически и без участия владельца устройства.
Так, без обмана и фишинга, без подозрительных писем и вредоносных вложений, миллионы людей стали жертвами. Встроенный модуль собирал сведения о посещённых страницах, фиксировал уникальные ID и пересылал их на сервер, контролируемый атакующими. Кроме того, вредонос мог в фоновом режиме открывать заданные сайты — полностью в обход воли пользователя. Эта функция используется для рекламы, подмены страниц и доставки других угроз.
И кампания не ограничивалась подбором цветов. В списке участвовавших дополнений — утилиты для прогноза погоды, ускорения видео, обхода блокировок через VPN, усиления громкости, вставки эмодзи и даже интеграции с ChatGPT. Все они действительно функционировали, как заявлено — именно это помогло им избежать раннего обнаружения .
Расширения, задействованные в RedDirection:
В Koi Security настоятельно рекомендуют немедленно удалить перечисленные надстройки, вручную очистить кэш, куки и локальное хранилище, а также внимательно следить за действиями в онлайн-аккаунтах. Некоторые элементы вредоноса могут сохраняться даже после удаления, поэтому простая деинсталляция не гарантирует безопасность.
Пока магазины не начнут тщательно проверять каждую версию расширений — включая обновления — подобные атаки будут повторяться. Любой привычный инструмент может оказаться троянским конём . Проблема вредоносных дополнений — уже не локальная история, а системный риск .
На первый взгляд — обычное расширение для браузера. Приятный интерфейс, понятная функция выбора цвета с экрана, высокий рейтинг, множество положительных отзывов. Но за этой безобидной оболочкой скрывался тщательно продуманный троянец , который внедрял в браузеры пользователей скрытые механизмы слежки. Аналитики из Koi Security выяснили, что популярное дополнение Color Picker, Eyedropper — Geco colorpick, размещённое в каталогах Chrome и Edge, стало частью масштабной вредоносной операции под названием RedDirection.
Geco colorpick загрузили более 100 000 человек. У него отличная репутация — 4.2 балла, свыше 800 рецензий, отметка «рекомендуемое» в Chrome Web Store, аналогичный статус в Microsoft Edge Add-ons. Но вместо заявленного функционала плагин давал злоумышленникам доступ к действиям пользователя, пересылал данные на удалённый сервер и мог перенаправлять трафик по внешней команде.
Созданный инструмент действительно выполнял заявленную задачу: он позволял определить оттенок с любого участка страницы и сохранить его в буфер обмена. Это удобно для дизайнеров, верстальщиков, иллюстраторов. Но за рабочей функцией скрывалась совсем другая цель.
Причём Color Picker был не один. Исследователи выявили 18 модулей — для Chrome и Edge — с аналогичным скрытым поведением. Общее число заражённых браузеров превысило 2,3 миллиона — это одна из крупнейших зафиксированных кампаний такого рода.
По словам аналитика Koi Security Идана Дардикмана, RedDirection не выглядит как любительская разработка. Это многоходовая, профессионально организованная операция. На ранних этапах дополнения вели себя безупречно — работали как положено и не вызывали подозрений. Только через несколько циклов обновлений в них начинали внедрять вредоносный код. За счёт особенностей автозагрузки в Chrome и Edge, подменённые версии устанавливались незаметно — автоматически и без участия владельца устройства.
Так, без обмана и фишинга, без подозрительных писем и вредоносных вложений, миллионы людей стали жертвами. Встроенный модуль собирал сведения о посещённых страницах, фиксировал уникальные ID и пересылал их на сервер, контролируемый атакующими. Кроме того, вредонос мог в фоновом режиме открывать заданные сайты — полностью в обход воли пользователя. Эта функция используется для рекламы, подмены страниц и доставки других угроз.
И кампания не ограничивалась подбором цветов. В списке участвовавших дополнений — утилиты для прогноза погоды, ускорения видео, обхода блокировок через VPN, усиления громкости, вставки эмодзи и даже интеграции с ChatGPT. Все они действительно функционировали, как заявлено — именно это помогло им избежать раннего обнаружения .
Расширения, задействованные в RedDirection:
Chrome:
- Emoji keyboard online — copy&past your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access
- Unlock YouTube VPN
- Color Picker, Eyedropper — Geco colorpick
- Weather
Edge:
- Unlock TikTok
- Volume Booster — Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player — games emulator
- Youtube Unblocked
- SearchGPT — ChatGPT for Search Engine
- Unlock Discord
В Koi Security настоятельно рекомендуют немедленно удалить перечисленные надстройки, вручную очистить кэш, куки и локальное хранилище, а также внимательно следить за действиями в онлайн-аккаунтах. Некоторые элементы вредоноса могут сохраняться даже после удаления, поэтому простая деинсталляция не гарантирует безопасность.
Пока магазины не начнут тщательно проверять каждую версию расширений — включая обновления — подобные атаки будут повторяться. Любой привычный инструмент может оказаться троянским конём . Проблема вредоносных дополнений — уже не локальная история, а системный риск .