大规模浏览器劫持感染了230万 Chrome、Edge用户

大规模浏览器劫持感染了230万 Chrome、Edge用户

一款下载量超过 10 万次的 Chrome 和 Edge 扩展程序，会显示 Google 的认证标志，其功能与其宣传的一样：为用户提供颜色选择器。然而，据 Koi Security 研究人员称，不幸的是，它还会劫持每个浏览器会话，追踪网站活动，并在受害者的浏览器上植入后门。

颜色选择器允许用户从网站中选择任意颜色并将其复制到剪贴板以供日后使用，这对于设计应用程序、网站等非常有用。截至发稿时，Geco 的这款扩展程序仍可通过微软和谷歌各自的应用商店下载。两家公司均未回应The Register的询问，但如果情况有变，我们将更新此报道。

Geco 扩展程序在 Chrome 网上应用店中获得了 800 多条评论，评分 4.2 星（满分 5 星），并被评为“推荐”应用。微软的 Edge 附加组件也获得了超过 1000 名用户的一致好评，看起来是一款非常安全的扩展程序。

Koi Security 分析师 Idan Dardikman 在周二的博客中表示： “这不是一个周末就能搞定的明显骗局扩展程序，而是一个精心设计的特洛伊木马。”

《The Register》还联系了开发商征求意见，但尚未收到回复。

Koi Security 表示，Geco 颜色选择器只是“冰山一角”，是名为 RedDirection 的更大规模浏览器劫持活动的一部分。该活动包含 18 个恶意扩展程序，涵盖 Chrome 和 Edge 商店，它们都具有相同的监听功能。所有 18 个扩展程序均列于本文末尾。 

达迪克曼写道：“这 18 个扩展程序总共感染了两种浏览器的 230 多万用户，是我们记录到的最大规模的浏览器劫持行动之一。”

这些扩展程序提供各种功能：表情符号键盘、天气预报、视频速度控制器、Discord 和 TikTok 的 VPN 代理、暗黑主题、音量增强器以及 YouTube 解锁器（如果您的雇主、学校或政府屏蔽了 YouTube 这个热门视频网站，这些扩展程序会非常有用）。但研究人员表示，除了提供这些合法功能外，它们还会秘密监视用户的网页浏览活动，捕获 URL，将这些信息连同受害者的唯一跟踪 ID 一起发送到攻击者控制的远程服务器，甚至在接到指令后重定向用户的浏览器。

让这件事变得更加隐蔽的——这可能解释了 Google 验证徽章——是这些扩展程序从一开始就没有被恶意软件所感染。

据达迪克曼称，这些代码最初是干净的，有时甚至在恶意软件通过版本更新引入之前，这种状态会持续数年。“由于谷歌和微软处理浏览器扩展更新的方式，这些恶意版本会悄无声息地自动安装到两个平台上超过 230 万用户身上，其中大多数人从未点击过任何按钮，”他说道。

如果您安装了下面列出的任何扩展程序，请立即卸载，清除浏览器数据，并密切关注您的帐户是否有任何可疑活动。

该博客警告称：“没有网络钓鱼，没有社会工程学。只是一些悄无声息的受信任扩展程序，将生产力工具变成了监控恶意软件。”