En massiv kampanj med skadlig kod som kapar webbläsare har komprometterat miljontals användare av Chrome och Edge.
Populära tillägg—vissa betrodda i åratal—uppdaterades i hemlighet för att spionera på användare och omdirigera dem till skadliga webbplatser.
Forskare från Koi Security varnar för att minst 2,3 miljoner människor redan har drabbats.
Omfattningen av denna tysta attack gör det till en av de största säkerhetsbristerna i webbläsartillägg hittills.
Rent kod i åratal—tills allt förändrades
Den skadliga kampanjen, kallad RedDirection, involverade arton populära webbläsartillägg.
Dessa tillägg började som ofarliga verktyg med funktioner som färgplockare, emoji-tangentbord eller videohantering.
Vissa bar till och med Googles verifieringsmärke, hade lysande recensioner och höga placeringar i Chrome Web Store.
I flera år fanns inga tecken på fara—tills nya uppdateringar tyst injicerade farlig kod.
Eftersom Google och Microsoft tillåter tysta tilläggsuppdateringar blev användarna automatiskt komprometterade utan att själva agera.
Ingen phishing, ingen social ingenjörskonst—bara betrodda verktyg som förvandlades till trojaner.
Vad gör kapningsprogramvaran i webbläsaren?
De infekterade tilläggen beter sig som vanligt.
De väljer färger, höjer volymen och kontrollerar videor—precis som utlovat.
Men i bakgrunden spårar skadlig kod varje besökt webbplats.
Den samlar in ursprungliga webbadresser och skickar dem till en angriparkontrollerad server.
Ett command-and-control-system kan sedan omdirigera användaren till skadliga sidor när som helst.
Det kan handla om falska Zoom-uppdateringar, klonade bankinloggningar eller phishing-sidor som stjäl känslig information.
En attack, flera tillägg, gemensam infrastruktur
Även om varje tillägg verkade unikt delade de en centraliserad attackinfrastruktur.
Separata domännamn gav illusionen av olika utvecklare och dolde den större skadliga operationen.
Forskare säger att angripare när som helst kan utnyttja detta upplägg—och tyst kapa webbläsarsessioner för bedrägeri eller cyberattacker.
Denna kampanj utnyttjade användarnas tillit till officiella webbutiker.
Verifieringsprocesserna misslyckades och gjorde det möjligt för skadliga uppdateringar att smita förbi upptäckt.
De infekterade tilläggen: Ta bort omedelbart
Koi Security identifierade följande Chrome-tillägg i attacken:
- Emoji keyboard online – copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller – Video Manager
- Unlock Discord – VPN Proxy
- Dark Theme – Dark Reader for Chrome
- Volume Max – Ultimate Sound Booster
- Unblock TikTok – Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper – Geco colorpick
- Weather
Och följande Edge-tillägg:
- Unlock TikTok
- Volume Booster
- Web Sound Equalizer
- Header Value
- Flash Player Emulator
- YouTube Unblocked
- SearchGPT – ChatGPT for Search
- Unlock Discord
Alla dessa tillägg bör tas bort omedelbart.
Hur skyddar du dig mot webbläsarkapning?
Att radera de skadliga tilläggen är bara första steget.
Användare bör också rensa webbläsardata, inklusive cache och lagrade identifierare.
Att köra en fullständig malware-genomsökning kan hjälpa till att hitta ytterligare infektioner på systemet.
Konton kopplade till den drabbade webbläsaren bör övervakas noggrant efter misstänkt aktivitet.
Experter varnar för att även betrodda tillägg kan bli skadliga efter en enkel uppdatering.
Användare bör regelbundet granska installerade tillägg och ta bort allt som inte längre behövs.
Incidenten visar att vaksamhet är avgörande—även när man använder verifierade verktyg.
Slutsats
Attacken med webbläsarkapning avslöjar hur skör tilliten i webbläsare kan vara.
Miljontals användare exponerades utan egen förskyllan, bara genom att använda verktyg de trodde var säkra.
Google, Microsoft och andra teknikjättar måste stärka verifieringen och övervakningen av tillägg.
För användare är noggrann tilläggshantering och digital hygien viktiga försvar.
När cyberbrottslingar blir djärvare kommer tysta hot som detta att bli allt vanligare.
Att hålla sig informerad och försiktig är det bästa skyddet mot nästa digitala överfall.
0 svar till ”Webbläsarkapningsskadlig kod infekterar 2,3 miljoner Chrome- och Edge-användare”