Google+
RSS
(+48) 71-707-03-76
suncapital@suncapital.pl

Złośliwe rozszerzenia do przeglądarek – ukryte zagrożenie lipca 2025 według CERT ORANGE Polska

Sandra Jurkowska
Aktualizacje, Archiwizacja, Ogólnie, Raport bezpieczeństwa, Sophos, Szkolenia, Usługi IT

Złośliwe dodatki do przeglądarek – cicha plaga lipca 2025

📅 Raport CERT ORANGE  Polska ujawnia niepokojący wzrost infekcji przez rozszerzenia przeglądarek

Wprowadzenie

Lipiec 2025 przyniósł nową falę zagrożeń cybernetycznych. Choć nie są one tak spektakularne jak ataki ransomware czy masowe wycieki danych, to jednak stanowią wyjątkowo skuteczne i trudne do wykrycia narzędzie ataków. CERT Polska w swoim najnowszym raporcie alarmuje o znaczącym wzroście liczby incydentów związanych z złośliwymi rozszerzeniami przeglądarek internetowych. Mimo że działają po cichu, ich skutki mogą być poważne – od przechwytywania danych po całkowite przejęcie kont firmowych.

Na czym polega ten typ ataku?

Złośliwe dodatki (ang. malicious browser extensions) to rozszerzenia instalowane w popularnych przeglądarkach, takich jak Chrome, Edge czy Firefox. Choć na pierwszy rzut oka wyglądają jak przydatne narzędzia – np. konwertery plików, blokery reklam czy rozszerzenia PDF – to w rzeczywistości zawierają złośliwy kod umożliwiający szereg groźnych działań.

Między innymi mogą:

  • kraść dane logowania,

  • przechwytywać treści przeglądanych stron,

  • śledzić ruch sieciowy,

  • automatycznie przekierowywać użytkownika na strony phishingowe,

  • uruchamiać kod w kontekście sesji zalogowanego użytkownika, co prowadzi do tzw. session hijackingu.

Co więcej, niektóre z tych dodatków mają funkcje automatycznego aktualizowania się z serwera C&C (Command & Control). Dzięki temu atakujący może zdalnie modyfikować ich działanie, nie wzbudzając podejrzeń użytkownika.

Kto jest celem?

Według CERT Polska, ofiarami tego typu ataków są przede wszystkim:

  • pracownicy firm, zwłaszcza logujący się do systemów wewnętrznych (ERP, CRM),

  • użytkownicy bankowości internetowej oraz platform SaaS,

  • instytucje publiczne i jednostki samorządowe,

  • osoby prywatne, które logują się do usług firmowych z urządzeń domowych.

W wielu przypadkach infekcja następuje w wyniku kampanii phishingowej lub po kliknięciu w sponsorowaną reklamę, która prowadzi na fałszywą stronę przypominającą oficjalny sklep rozszerzeń przeglądarki.

Co istotne, infekcje często dotyczą nie tylko jednego urządzenia. Jeśli przeglądarka jest zsynchronizowana z kontem Google lub Microsoft, rozszerzenie może automatycznie przenieść się również na inne urządzenia powiązane z tym kontem.

Mechanizm infekcji – krok po kroku

Aby lepiej zrozumieć skalę zagrożenia, warto przyjrzeć się typowemu scenariuszowi ataku:

  1. Użytkownik otrzymuje wiadomość e-mail lub reklamę zachęcającą do instalacji „przydatnego” rozszerzenia.

  2. Kliknięcie odnośnika prowadzi na spreparowaną stronę przypominającą oficjalny sklep z rozszerzeniami.

  3. Po instalacji, rozszerzenie uzyskuje szeroki dostęp do danych przeglądarki, w tym historii, ciasteczek i aktywnych sesji.

  4. W dalszej kolejności rozszerzenie działa w ukryciu, a jego funkcjonalność aktywuje się dopiero w określonych sytuacjach – na przykład po zalogowaniu się użytkownika do bankowości internetowej.

Warto dodać, że wiele złośliwych dodatków stosuje zaawansowane metody obfuskacji kodu. Dzięki temu są trudniejsze do wykrycia nawet przez nowoczesne silniki antywirusowe.

Jak się chronić?

Chociaż skala zagrożenia jest znaczna, istnieją skuteczne metody obrony. Oto najważniejsze z nich:

1. Ograniczenie możliwości instalowania dodatków

W środowisku firmowym warto zastosować polityki bezpieczeństwa, które blokują instalację rozszerzeń przez użytkowników końcowych. Zarówno Google Workspace, jak i Microsoft 365 oferują możliwość centralnego zarządzania dodatkami.

2. Weryfikacja rozszerzeń przed instalacją

Każde rozszerzenie powinno być sprawdzane pod względem reputacji, liczby użytkowników i pochodzenia. Wskazane jest również analizowanie kodu źródłowego w przypadku rozszerzeń open-source. Należy unikać dodatków od nieznanych wydawców oraz takich, które wymagają podejrzanie szerokiego dostępu do danych.

3. Rozdzielenie środowisk przeglądarkowych

Zaleca się stosowanie oddzielnych przeglądarek lub profili użytkownika do działań administracyjnych. Dzięki temu nawet w przypadku infekcji ograniczamy zasięg możliwego ataku.

4. Monitoring punktów końcowych

Niezwykle ważna jest także bieżąca analiza aktywności na urządzeniach końcowych – i tutaj kluczową rolę odgrywają nowoczesne narzędzia typu EDR.

Sophos z XDR – skuteczna ochrona przed zagrożeniami

Jednym z najskuteczniejszych rozwiązań dostępnych na rynku jest Sophos  XDR, który integruje klasyczną ochronę antywirusową z zaawansowanymi funkcjami EDR (Endpoint Detection and Response).

Dzięki temu możliwa jest:

  • analiza nietypowych zachowań użytkowników i aplikacji, w tym instalacji podejrzanych dodatków,

  • błyskawiczna izolacja urządzenia od sieci, w razie wykrycia zagrożenia,

  • automatyczne korelowanie zdarzeń z globalnymi danymi o zagrożeniach w SophosLabs,

  • tworzenie szczegółowych raportów oraz analiza ścieżki infekcji, co ułatwia identyfikację źródła ataku.

Dodatkowo, funkcje Live Discover i Threat Cases pozwalają administratorom na szybkie śledzenie aktywności w czasie rzeczywistym.

Co warto wdrożyć już teraz?

Aby zminimalizować ryzyko infekcji, warto podjąć następujące działania:

  • Przeprowadzenie audytu dodatków zainstalowanych na komputerach pracowników.

  • Wdrożenie polityk ograniczających instalację rozszerzeń przez użytkowników.

  • Instalacja narzędzi klasy EDR/XDR, takich jak Sophos Intercept X.

  • Edukacja użytkowników w zakresie rozpoznawania fałszywych rozszerzeń i stron.

  • Monitorowanie logów sieciowych i endpointów pod kątem anomalii.

Podsumowanie

Złośliwe rozszerzenia do przeglądarek stają się coraz popularniejszym wektorem ataku w 2025 roku. Pomimo że są trudne do wykrycia i często wyglądają niewinnie, ich skutki mogą być poważne – zwłaszcza dla firm i instytucji publicznych. Dlatego też kluczowe jest połączenie świadomości zagrożenia, odpowiednich polityk bezpieczeństwa oraz nowoczesnych narzędzi do ochrony endpointów.

➡️ Jeśli chcesz dowiedzieć się, jak chronić swoją firmę przy użyciu Sophos Intercept X – skontaktuj się z nami.
Oferujemy kompleksowe wdrożenie, analizę infrastruktury i pełne wsparcie techniczne.

📞 Dane kontaktowe Sun Capital

Sun Capital Sp. z o.o.
ul. Krakowska 141-155,
50-428 Wrocław, Polska
📧 E-mail: suncapital@suncapital.pl
📞 Telefon: +48 71 707 03 76
🌐 Strona internetowa: https://suncapital.pl
💼 Oferta szkoleń VR z cyberbezpieczeństwa: https://vrtraining.cloud/companyunhacked/

Źródło Temat
TechRadar, Malwarebytes, CSO Kampania RedDirection – 2,3 mln zainfekowanych użytkowników przez 18 rozszerzeń
TechRadar (drugi) 245 dodatków z MellowTel-js, ~1 mln zainfekowanych urządzeń
Socket.dev Kampania Phantom Enigma – ataki na bankowość przez rozszerzenia
CERT Orange Polska Potwierdzenie wzrostu zagrożeń – złośliwe rozszerzenia przeglądarek

Tagi: ataki przez przeglądarki, CERT Polska 2025, cyberbezpieczeństwo lipiec 2025, EDR, malicious browser extensions, ochrona endpointów, phishing 2025, Sophos Intercept X, zagrożenia przeglądarek, złośliwe rozszerzenia,

Brak komentarzy

You must be logged in to post a comment.

Lista kategorii

Archiwum

Przydatne linki

Suncapital - Dystrybutor oprogramowania

Kerio - Poznaj rozwiązania Kerio

GFI Software - Bezpieczeństwo IT

Sohpos - Kompleksowa ochrona i kontrola danych

Mailstore - Archiwizacja poczty

BackupAssist - Kompletny backup dla Windows

ERP i optymalizacja pracy

Sun Capital Cloud - usługi w chmurze

Helpdesk - Pomoc techniczna Suncapital

Kontakt

Sun Capital Sp. z o.o.
53-034 Wrocław
ul. Ołtaszyńska 92c/6
(+48) 71-707-03-76 lub 71-360-81-00
(+48) 71-794-93-76
suncapital@suncapital.pl
© FirewallBlog – BLOG IT 2017 - SunCapital - www.suncapital.pl | Wykonanie pavos.media