Cercetătorii în securitate cibernetică au descoperit o campanie periculoasă care a urmărit comportamentul online al utilizatorilor prin intermediul a 18 extensii de browser disponibile în mod oficial în magazinele web Chrome și Edge. Se estimează că peste două milioane de utilizatori au instalat aceste extensii compromițătoare.
Extensiile păreau complet inofensive: ofereau funcționalități utile, aveau recenzii bune, insigne de verificare și chiar erau promovate în secțiunea recomandărilor. Însă, odată ce o extensie este acceptată în magazinul web, atacatorii pot introduce cod malițios printr-un update ulterior. Aceste extensii curate, dar cu potențial de a deveni dăunătoare, sunt cunoscute în jargonul cercetătorilor drept „agenți adormiți”.
Cum acționează extensiile infectate
Un exemplu elocvent este o extensie care pretindea că oferă o funcție de căutare pentru ChatGPT. A fost disponibilă luni de zile, fără comportament suspect. Apoi, extensia a fost „activată” și a început să funcționeze ca un mecanism de hijacking al browserului, activ de fiecare dată când utilizatorul naviga către o pagină nouă.
Extensia efectua următoarele acțiuni:
Înregistra adresa URL a paginii accesate.
Trimitea aceste date către un server de comandă și control (C&C), împreună cu un ID unic pentru identificarea utilizatorului.
Primea eventuale redirecționări false de la același server.
Redirecționa automat browserul, dacă i se cerea acest lucru.
Un scenariu periculos
Un exemplu de risc: primești o invitație la o întâlnire pe Zoom și dai clic pe link. În loc să intri în ședință, extensia malițioasă te redirecționează către o pagină falsă, unde ți se cere să descarci un „update critic pentru Zoom”. Ce instalezi de fapt? Malware suplimentar care poate duce la compromiterea completă a sistemului tău.
Extensiile implicate
Multe dintre extensiile identificate au fost deja eliminate din magazinele web. Cu toate acestea, peste 1,7 milioane de instalări au fost înregistrate în Chrome Web Store, iar numărul total de utilizatori afectați depășește 2,3 milioane.
Lista extensiilor periculoase
Pentru Chrome:
Emoji keyboard online
Free Weather Forecast
Unlock Discord
Dark Theme
Volume Max
Unblock TikTok
Unlock YouTube VPN
Geco colorpick
Weather
Pentru Edge:
Unlock TikTok
Volume Booster
Web Sound Equalizer
Header Value
Flash Player
Youtube Unblocked
SearchGPT
Unlock Discord
Ce poți face dacă ai instalat una dintre aceste extensii?
Șterge extensia imediat.
Curăță complet datele de navigare (istoric, cookies, cache, date de site). Va trebui să te reconectezi pe multe site-uri.
Monitorizează activitatea conturilor tale, în special dacă ai accesat site-uri sensibile (de exemplu, aplicații bancare).
Schimbă parolele pentru conturile accesate în perioada în care extensia era activă.
Activează autentificarea în doi pași (2FA) acolo unde este posibil.
Resetează browserul la setările inițiale. Aceasta poate anula modificările făcute de extensie.
Fii atent la emailuri și mesaje suspecte sau notificări legate de activități neobișnuite.
Actualizează browserul și toate extensiile rămase.
Recomandare finală
Chiar dacă instalarea extensiilor din magazinele oficiale este recomandată, acest incident demonstrează că nu toate extensiile „verificate” sunt sigure. Dacă o extensie cere permisiuni suplimentare după un update, fii vigilent și analizează dacă solicitările sunt justificate pentru funcția sa.
Securitatea digitală începe cu atenția ta. O extensie aparent banală poate deveni o breșă gravă în intimitatea și siguranța ta online.
