Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Злонамерени разширения на браузъра ShadyPanda

Злонамерени разширения на браузъра ShadyPanda

До Mezo през Зловреден софтуерг
Превод на:

В ярък пример за дългосрочна кибер експлоатация, хакер, известен като ShadyPanda, е провел седемгодишна кампания, насочена към разширения на браузъра, натрупвайки над 4,3 милиона инсталации. Тази операция демонстрира как дори легитимен софтуер може да бъде използван като оръжие, когато липсва подходящ надзор.

От легитимни инструменти до злонамерени актуализации

Пет от компрометираните разширения са започнали като легитимни приложения, но са били модифицирани със злонамерена функционалност в средата на 2024 г. Тези актуализации са привлекли приблизително 300 000 инсталации, преди разширенията в крайна сметка да бъдат премахнати. Злонамерените актуализации са позволили дистанционно изпълнение на код на всеки час, позволявайки на атакуващите да изтеглят и изпълняват произволен JavaScript с пълен достъп до браузъра. След като бъдат активни, тези разширения:

  • Следете всеки посетен уебсайт.
  • Извличане на криптирана история на сърфиране.
  • Събирайте пълни пръстови отпечатъци на браузъра.

Забележителен пример е Clean Master, който преди това беше потвърден от Google. Официалният му статус помогна на ShadyPanda да разшири потребителската си база, позволявайки злонамерени актуализации, без да будят подозрения.

Масово наблюдение чрез популярни добавки

Друг набор от пет разширения, включително WeTab, наблюдаваше потребителите в голям мащаб. Тези добавки проследяваха URL адреси, заявки в търсачките, кликвания с мишката и други взаимодействия с браузъра, предавайки данните на сървъри, базирани в Китай. Общо тези разширения бяха инсталирани приблизително четири милиона пъти, като само WeTab отчита три милиона инсталации.

Ранни индикации за злонамерено поведение се появиха през 2023 г., включващи разработчиците nuggetsno15 и rocket Zhang, които публикуваха 20 разширения за Chrome и 125 разширения за Edge, маскирани като тапети или инструменти за продуктивност.

Използване на измами с партньорски програми и отвличане на браузър

Разширенията на ShadyPanda първоначално са се занимавали с афилиейт измами, като са инжектирали проследяващи кодове в сайтове като eBay, Amazon и Booking.com, за да генерират незаконни комисионни. В началото на 2024 г. тактиките ескалират до активен контрол на браузъра, включително:

  • Събиране на заявки за търсене.
  • Пренасочване на търсения през trovi.com, известен похитител на вируси.
  • Извличане на бисквитки от целеви домейни.

До средата на 2024 г. три разширения с дългогодишна легитимна употреба бяха модифицирани, за да извличат JavaScript полезни товари на всеки час от „api.extensionplay(dot)com“, изпълнявайки ги, за да наблюдават всяко посещение на сайта и да предават криптирани данни към „api.cleanmasters(dot)store“. Полезните товари бяха силно обфускирани и влизаха в доброкачествен режим, ако бъдат открити инструменти за разработчици, което помагаше на зловредния софтуер да избегне откриването.

Разширени възможности за атака

Освен проследяването, тези разширения биха могли да извършват атаки от типа „противник по средата“ (AitM), улеснявайки:

  • Кражба на удостоверения.
  • Отвличане на сесия.
  • Инжектиране на произволен код на произволен сайт.

Наблюдението се засили с добавки за Microsoft Edge, като WeTab, които записваха обширни потребителски взаимодействия, включително поведение при превъртане, време, прекарано на страници, и всички пръстови отпечатъци на браузъра. Тези разширения вече не са достъпни за изтегляне от съответните им пазари.

Препоръчителни действия за потребителите

Тази кампания премина през четири отделни фази, еволюирайки от легитимни инструменти до сложен шпионски софтуер. Макар че не е ясно дали броят на изтеглянията е бил изкуствено завишени, за да изглеждат легитимни, рискът за потребителите остава сериозен. Потребителите, които са инсталирали някое от тези разширения, трябва незабавно да ги премахнат и да сменят паролите си за всички онлайн акаунти.

Примери за засегнати разширения:

  • Clean Master: най-добрият почистващ инструмент за кеш на Chrome
  • Speedtest Pro - безплатен онлайн тест за скорост на интернет
  • БлокСайт
  • Превключвател на търсачката в адресната лента
  • Нов раздел на SafeSwift
  • Infinity V+ Нов раздел
  • OneTab Plus: Управление на раздели и продуктивност
  • WeTab 新标签页
  • Безкрайност Нов раздел за мобилни устройства
  • Безкрайност Нов раздел (Pro)
  • Безкрайност Нов раздел
  • Мечта в далечината Нов раздел
  • Мениджър на изтегляния Pro
  • Тапет с тема за галактика HD 4k Начална страница
  • Начална страница на Halo 4K Wallpaper HD
  • Уроци от ShadyPanda

Успехът на ShadyPanda подчертава, че само техническата сложност не е необходима, кампанията процъфтява, използвайки системна уязвимост в пазарите за разширения за браузъри. Разширенията се преглеждат при подаване, но поведението след одобрение до голяма степен е без наблюдение. Тази дългосрочна празнина в надзора позволи на надеждните инструменти тихомълком да се превърнат в платформи за наблюдение, подчертавайки необходимостта от постоянна бдителност, дори с проверен софтуер.

Тенденция

Измама със SafariBookings

Фишинг, Спам
Киберпрестъпниците експлоатират туристическата индустрия с фишинг кампания, известна като измамата SafariBookings. Тези имейли не са свързани с никакви легитимни компании, организации или доставчици на услуги. Те са предназначени да изглеждат като официални съобщения от услуга за резервации на пътувания, но единствената им цел е да заблудят получателите и да ги накарат да разкрият чувствителна...

Входящо съобщение е спряно - измама

Фишинг, Спам
Киберпрестъпниците продължават да усъвършенстват измами, базирани на имейли, а измамата „Входящо съобщение е на пауза“ е пореден пример за това как убедително съставеният спам може да примами нищо неподозиращи получатели. Тези измамни сигнали лъжливо твърдят, че съобщенията се скриват от вашата пощенска кутия и се опитват да ви насочат към фишинг страница. Важно е да се разбере, че тези имейли...

Най-гледан

Зареждане...