Több mint 2,3 millió felhasználót fertőztek meg rosszindulatú böngészőbővítmények

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Beküldte balacy -

A RedDirection kampány leleplezése – amikor a „megbízhatónak” tűnő eszközök árulják el a felhasználót Egy kiterjedt, eddig rejtve maradt kártékony kampány során több mint 2,3 millió Chrome és Edge böngészőt használó felhasználó adatait és böngészési szokásait kompromittálták. A RedDirection fedőnéven futó támadássorozat 18 különböző böngészőbővítményen keresztül fertőzte meg az eszközöket – ezek közül több is hivatalos piactéri „ellenőrzött” jelöléssel rendelkezett, ami hamis biztonságérzetet keltett a felhasználókban.

Hogyan működött a RedDirection kampány?

A Koi Security biztonsági kutatói egy ártatlannak tűnő bővítmény, a Color Picker, Eyedropper — Geco colorpick vizsgálata során fedezték fel, hogy az valójában háttérben futó kóddal kémkedik a felhasználó után. A bővítmény:

  • Követte, hogy milyen oldalakat látogat meg a felhasználó,
  • Ezeket az URL-eket távoli parancs- és vezérlőszerverekre (C2 szerverekre) küldte el,
  • A támadók ezután átirányították a felhasználót más oldalakra, gyakran adathalász célból vagy további fertőzések elindítására.

A bővítményekben elhelyezett háttérszkriptek (service workers) képesek voltak minden új lap megnyitásánál aktiválódni. Ezzel böngészőeltérítést (browser hijacking) hajtottak végre, és akár phishing oldalakra vagy rosszindulatú letöltésekre irányították át a felhasználót.

Megtévesztő módszer: a „megbízható” bővítményekből lettek kártevők

A támadás különösen alattomos volt, mivel az érintett bővítmények eredetileg teljesen ártalmatlannak tűntek. Valós funkcióval rendelkeztek, hosszú ideig pozitív értékeléseket kaptak, és sokszor hasznos segédeszközként működtek – például színválasztóként, hangfelerősítőként vagy VPN-ként. Azonban:

  • A fejlesztők (vagy akik átvették tőlük a kódot) későbbi frissítésekben adták hozzá a kártékony részeket.
  • A böngészők automatikusan frissítik a bővítményeket, így a felhasználók észrevétlenül kerültek veszélybe.

Mely bővítmények voltak érintettek?

A kampányban többek között az alábbi bővítmények szerepeltek:

  • Emoji keyboard online (Chrome)
  • Free Weather Forecast (Chrome)
  • Unlock Discord (Chrome)
  • Dark Theme (Chrome)
  • Volume Max (Chrome)
  • Unblock TikTok (Chrome)
  • Unlock YouTube VPN (Chrome)
  • Geco colorpick (Chrome)
  • Weather (Chrome)
  • Unlock TikTok (Edge)
  • Volume Booster (Edge)
  • Web Sound Equalizer (Edge)
  • Header Value (Edge)
  • Flash Player (Edge)
  • Youtube Unblocked (Edge)
  • SearchGPT (Edge)
  • Unlock Discord (Edge)

Egyes bővítmények – például a Volume Max – már korábban is gyanúsnak bizonyultak. Egy korábbi jelentés szerint ezek alvó ügynökként működtek: csendben kommunikáltak külső szerverekkel, titkosított adatforgalmat használtak, és képesek voltak távoli parancsok végrehajtására – ami lényegében egy hátsó ajtót nyitott a támadók számára.

Miért nem szűrte ki ezt a Chrome és az Edge áruház?

A legtöbb érintett bővítmény hivatalosan elérhető volt a Chrome Web Store és a Microsoft Edge Add-ons piactéren is, sőt, néhány még kiemelt vagy ellenőrzött (verified) státuszt is kapott.

Ez azért is különösen aggasztó, mert:

  • A felhasználók joggal feltételezik, hogy a hivatalos áruházban elérhető bővítményeket biztonságilag ellenőrizték.
  • A támadók külön aldomain struktúrát (például click.videocontrolls.com, c.undiscord.com) használtak minden bővítményhez, hogy elkerüljék az automatikus észlelést, és leplezzék az egységes háttérvezérlést.

A rosszindulatú bővítmények és domain neveik listája:

Chrome extension-ok

  • kgmeffmlnkfnjpgmdndccklfigfhajen Emoji keyboard online
  • dpdibkjjgbaadnnjhkmmnenkmbnhpobj Free Weather Forecast
  • gaiceihehajjahakcglkhmdbbdclbnlf Free Weather Forecast
  • mlgbkfnjdmaoldgagamcnommbbnhfnhf Unlock Discord
  • eckokfcjbjbgjifpcbdmengnabecdakp Dark Theme
  • mgbhdehiapbjamfgekfpebmhmnmcmemg Volume Max
  • cbajickflblmpjodnjoldpiicfmecmif Unblock TikTok
  • pdbfcnhlobhoahcamoefbfodpmklgmjm Unlock YouTube VPN
  • eokjikchkppnkdipbiggnmlkahcdkikp Geco colorpick
  • ihbiedpeaicgipncdnnkikeehnjiddck Weather

Edge extensions-ok

  • jjdajogomggcjifnjgkpghcijgkbcjdi Unlock TikTok
  • mmcnmppeeghenglmidpmjkaiamcacmgm Volume Booster
  • ojdkklpgpacpicaobnhankbalkkgaafp Web Sound Equalizer
  • lodeighbngipjjedfelnboplhgediclp Header Value
  • hkjagicdaogfgdifaklcgajmgefjllmd Flash Player
  • gflkbgebojohihfnnplhbdakoipdbpdm Youtube Unblocked
  • kpilmncnoafddjpnbhepaiilgkdcieaf SearchGPT
  • caibdnkmpnjhjdfnomfhijhmebigcelo Unlock Discord

Domainek:

  • admitab[.]com
  • edmitab[.]com
  • videocontrolls[.]com
  • undiscord[.]com
  • darktheme[.]net
  • jermikro[.]com
  • untwitter[.]com
  • unyoutube[.]net
  • admitclick[.]net
  • addmitad[.]com
  • admiitad[.]com
  • abmitab[.]com
  • admitlink[.]net

A rosszindulatú bővítmények nagy részét már eltávolították a webáruházakból.

Mit tehetsz, ha telepítetted valamelyik bővítményt?

Ha a fenti bővítmények valamelyikét valaha használtad, haladéktalanul tedd meg az alábbi lépéseket:

  1. Azonnal töröld a bővítményt a böngésződből.
  2. Töröld a böngészési adatokat (gyorsítótár, cookie-k, űrlapadatok).
  3. Futtass teljes vírusellenőrzést a rendszereden naprakész vírusirtóval.
  4. Ellenőrizd az online fiókjaidat (e-mail, közösségi média, bank) gyanús bejelentkezések vagy aktivitások után.
  5. Változtasd meg a jelszavaidat, különösen ha ugyanazt az e-mail-címet használtad a böngészővel szinkronizált fiókokban.
  6. Kapcsold be a kétlépcsős azonosítást minden fontos szolgáltatásnál.

Szómagyarázat

  • Böngészőbővítmény (browser extension) – Böngészőbe épülő kis program, amely kiegészítő funkciókat kínál (pl. reklámszűrés, jelszókezelés).
  • Browser hijacking (böngészőeltérítés) – Amikor egy kártékony szoftver átirányítja a felhasználót más weboldalakra, gyakran a tudta nélkül.
  • Command-and-control (C2) szerver – A támadók által irányított szerver, amely utasításokat küld a fertőzött eszközökre.
  • Phishing (adathalászat) – Hamis weboldalakkal vagy üzenetekkel történő próbálkozás a felhasználók adatainak megszerzésére.
  • Verified extension – Hivatalosan „ellenőrzött” jelöléssel ellátott bővítmény, amely megbízhatónak tűnik, de ez nem jelent tökéletes biztonságot.
  • Service worker – Böngészőben futó háttérszkript, amely lehetővé teszi például az offline működést – de kártékony célra is felhasználható.

A RedDirection kampány figyelmeztető példa arra, hogy a hivatalos piactér sem garancia a biztonságra. A felhasználóknak tudatosabban kell bánniuk a böngészőbővítményekkel, különösen akkor, ha azok túl sok engedélyt kérnek vagy ismeretlen forrásból származnak.

Hogyan védekezhetsz a böngészőbővítményeken keresztül érkező támadások ellen?

Használói útmutató a biztonságos böngészéshez, egyszerű lépésekkel

A RedDirection kampány és hasonló incidensek megmutatták, hogy a böngésző bővítmények – még a „hivatalos” piactérről származók is – komoly kockázatot jelenthetnek az átlagfelhasználóra nézve. Sokan nem is gondolják, hogy egy ártatlannak tűnő színválasztó vagy hangfelerősítő eszköz képes lehet adatlopásra, átirányításokra, sőt, távoli vezérlésre is.

Az alábbi útmutató segít abban, hogy te is egyszerű lépésekkel megvédd magad az ilyen fenyegetésektől.

1. Csak megbízható fejlesztőtől származó bővítményt telepíts

Mielőtt bármilyen bővítményt telepítenél, nézd meg a fejlesztő nevét, a kiadási dátumot és a korábbi értékeléseket. Ha a bővítmény új, vagy kevés értékeléssel rendelkezik, gondold át kétszer is, hogy valóban szükséged van-e rá.

Ne csak a csillagokat nézd – olvass bele a véleményekbe is! Sok esetben a felhasználók már jelezték a gyanús működést, csak ezt könnyű figyelmen kívül hagyni.

2. Figyeld, milyen engedélyeket kér a bővítmény

Amikor egy bővítmény például azt kéri, hogy hozzáférhessen minden meglátogatott oldal tartalmához, vagy módosíthassa az oldalakat, az vörös zászló lehet. Kérdezd meg magadtól:

  • „Valóban szüksége van erre a funkcióra?”
  • „Mi történhet, ha visszaél ezzel a lehetőséggel?”

Minél több engedélyt adsz, annál nagyobb a kockázat.

3. Kevesebb jobb: csak azt tartsd meg, amire tényleg szükséged van

Ha régi, már nem használt bővítményeket tartasz fent, távolítsd el őket. Egy elhagyott bővítmény, amelyet már nem frissítenek, idővel sebezhetővé válik, vagy akár át is adhatják azt új fejlesztőknek – ahogy az több RedDirection-bővítmény esetében is történt.

Tartsd karban a bővítményeidet, és végezz időnként „nagytakarítást”.

4. Tiltsd le az automatikus frissítéseket, vagy ellenőrizd rendszeresen a friss bővítményverziókat

A legtöbb böngésző automatikusan frissíti a bővítményeket, de ezek a frissítések könnyen bevezetik a rosszindulatú kódokat. Ha technikailag jártas vagy, megfontolhatod az automatikus frissítés kikapcsolását (bár ez haladó művelet).

Alternatív megoldásként ellenőrizd rendszeresen, milyen változások történtek az általad használt bővítményeknél (pl. új engedélyek, gyanús változások, új fejlesztő).

5. Rendszeresen töröld a böngészési adatokat

A kártékony bővítmények gyakran sütik (cookie-k), gyorsítótárak vagy session adatok révén próbálnak tartós jelenlétet biztosítani. Ezért hasznos:

  • Időnként törölni a böngészési előzményeket, gyorsítótárat és cookie-kat,
  • Még jobb, ha bizalmasabb oldalakhoz (bank, e-mail) inkognitó ablakban kapcsolódsz.

6. Használj megbízható biztonsági szoftvert

Egy jó vírusirtó vagy kártevőfigyelő nemcsak a rendszeredet, de a böngésződ viselkedését is ellenőrizheti. Vannak olyan eszközök, amelyek figyelik az adatforgalmat, és azonnal jeleznek, ha egy bővítmény gyanús szerverekkel kommunikál.

7. Figyeld a fiókjaid szokatlan aktivitását

Ha egy bővítmény már hozzáfért az online tevékenységedhez, akkor lehet, hogy adathalász támadások vagy jogosulatlan bejelentkezések áldozatává válhatsz. Ezért:

  • Figyeld az e-mail és közösségi fiókjaidat, hogy történt-e belépés új eszközről.
  • Kapcsold be a kétlépcsős azonosítást minden fontos szolgáltatásnál (e-mail, bank, felhő, közösségi oldalak).

8. Ne dőlj be az „ellenőrzött” jelölésnek sem

Sok felhasználó azt gondolja, hogy ha egy bővítmény hivatalos piactéren ellenőrzöttként szerepel, az automatikusan biztonságos is. Ez nem igaz. A RedDirection kampányban több „verified” jelzésű bővítmény is szerepelt.

Ne a jelölés, hanem a tudatosság vezessen a döntésedben.

Szómagyarázat

  • Böngészőbővítmény (browser extension) – Kiegészítő program, ami új funkciót ad a böngészőhöz (pl. reklámblokkolás, hangszabályzás).
  • Service worker – A böngésző háttérfolyamata, amely akkor is fut, ha a felhasználó nincs aktívan az oldalon.
  • Browser hijacking – A böngésző viselkedésének rosszindulatú megváltoztatása, például átirányítás más weboldalakra.
  • C2 szerver (command-and-control) – A támadók által használt központi szerver, amely utasításokat ad a fertőzött rendszereknek.
  • Phishing – Adathalász módszer, amely hamis weboldalakkal próbál személyes adatokat kicsalni.
  • Cookie, gyorsítótár – A böngésző által tárolt adatok, amelyek a felhasználói élményt javítják, de sebezhetőséget is jelenthetnek.

Hozzászólások

nekibuzdulva...

Beküldte balacy -

Értékelés: 

0
Még nincs értékelve

átnéztem a felrakott bővítményeket. A fel olyan volt, hogy soha, vagy évi pár alkalommal kellett... Így már azoktól meg is szabadultam. Reklámblokkoló, webclipper, és videodownloadehelperr és egy ferdítő maradt meg. A többi kuka.