„Verificat” ar trebui să însemne „sigur”, o investigație realizată de Koi Security a demascat o rețea de 18 extensii aparent legitime, distribuite pe platformele Chrome și Edge, care s-au dovedit a fi veritabile instrumente de supraveghere și deturnare a activității online. Aceste extensii au infectat peste 2,3 milioane de utilizatori, folosindu-se de încrederea acordată de Google și Microsoft.
Calul troian modern
Extensiile vizate — inclusiv un simplu selector de culori, tastaturi emoji sau VPN-uri populare — se comportau perfect la suprafață. Aveau funcționalitate reală, recenzii excelente și badge-uri de verificare. Însă, în fundal, acestea:
- Monitorizau fiecare pagină accesată;
- Trimiteau adresele URL către servere controlate de atacatori;
- Redirecționau automat utilizatorii către pagini false, inclusiv replici ale platformelor Zoom sau ale site-urilor bancare;
- Instalau backdoor-uri persistente în sistemele victimei.
Actualizările automate au fost folosite pentru a introduce codul malițios în versiunile noi ale extensiilor, fără ca utilizatorul să aprobe nimic sau să observe schimbări evidente.
O problemă de încredere
Atacul denumit „RedDirection” evidențiază o problemă gravă în infrastructura de verificare a extensiilor. Platformele majore de distribuție — Chrome Web Store și Microsoft Edge Add-ons — nu au detectat pericolul, ba mai mult, l-au amplificat prin promovarea extensiilor ca fiind sigure și utile.
Semnalele de încredere, precum badge-ul „Verificat”, numărul de instalări și recenziile pozitive, au fost transformate în arme de manipulare. Eroarea nu a fost doar tehnică, ci și conceptuală: mecanismele de verificare automate sunt vulnerabile la atacuri sofisticate care se desfășoară pe perioade lungi, cu tactici subtile.
Ce pot face utilizatorii
Pentru protecție, specialiștii Koi recomandă:
- Eliminarea imediată a extensiilor afectate;
- Golirea datelor din browser;
- Scanarea completă a sistemului pentru malware;
- Monitorizarea conturilor personale, mai ales dacă au fost accesate site-uri sensibile.
Lecția de securitate
Campania RedDirection nu este doar un incident izolat. Ea subliniază o vulnerabilitate sistemică în modul în care construim încredere digitală. Atacatorii nu au spart un firewall sau păcălit victime prin phishing — au deturnat însuși ecosistemul de extensii, transformând platformele de distribuție într-un canal eficient de malware.
Acest episod ar trebui să provoace o reevaluare profundă a modului în care este gestionată securitatea extensiilor. Verificările automate nu mai sunt suficiente. Transparența, auditul continuu și implicarea comunității ar trebui să devină piloni ai viitorului navigării în siguranță.
Sursa: Koi Security
