Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Extensions de navegador malicioses de ShadyPanda

Extensions de navegador malicioses de ShadyPanda

El Mezo el Programari maliciós
Traduir a:

En un exemple sorprenent d'explotació cibernètica a llarg termini, un actor d'amenaces conegut com ShadyPanda ha dut a terme una campanya de set anys dirigida a extensions del navegador, acumulant més de 4,3 milions d'instal·lacions. Aquesta operació demostra com fins i tot el programari legítim es pot convertir en una arma quan no hi ha una supervisió adequada.

D’eines legítimes a actualitzacions malicioses

Cinc de les extensions compromeses van començar com a aplicacions legítimes, però es van modificar amb funcionalitats malicioses a mitjans del 2024. Aquestes actualitzacions van atreure aproximadament 300.000 instal·lacions abans que les extensions fossin finalment eliminades. Les actualitzacions malicioses van permetre l'execució remota de codi cada hora, permetent als atacants descarregar i executar JavaScript arbitrari amb accés complet al navegador. Un cop actives, aquestes extensions:

  • Monitoritza tots els llocs web visitats.
  • Exfiltra l'historial de navegació xifrat.
  • Recopila les empremtes digitals completes del navegador.

Un exemple notable és Clean Master, que ja havia estat verificat prèviament per Google. El seu estatus oficial va ajudar ShadyPanda a ampliar la seva base d'usuaris, permetent actualitzacions malicioses sense aixecar sospites.

Vigilància massiva mitjançant complements populars

Un altre conjunt de cinc extensions, incloent-hi WeTab, supervisava els usuaris a gran escala. Aquests complements rastrejaven URL, consultes de motors de cerca, clics del ratolí i altres interaccions del navegador, transmetent les dades a servidors amb seu a la Xina. En conjunt, aquestes extensions es van instal·lar aproximadament quatre milions de vegades, i WeTab va representar tres milions d'instal·lacions per si sola.

Els primers indicis de comportament maliciós van aparèixer el 2023, amb la participació dels desenvolupadors nuggetsno15 i rocket Zhang, que van publicar 20 extensions de Chrome i 125 extensions d'Edge disfressades de fons de pantalla o eines de productivitat.

Explotació del frau d’afiliació i segrest de navegador

Les extensions de ShadyPanda inicialment es dedicaven al frau d'afiliació, injectant codis de seguiment a llocs com eBay, Amazon i Booking.com per generar comissions il·lícites. A principis del 2024, les tàctiques van escalar fins al control actiu del navegador, incloent:

  • Recol·lecció de consultes de cerca.
  • Redirecció de cerques a través de trovi.com, un segrestador conegut.
  • Exfiltració de cookies dels dominis de destinació.

A mitjans del 2024, es van modificar tres extensions amb un ús legítim de llarga data per obtenir càrregues útils de JavaScript cada hora des d'"api.extensionplay(dot)com", executant-les per supervisar cada visita al lloc i transmetre dades xifrades a "api.cleanmasters(dot)store". Les càrregues útils estaven molt ofuscades i entraven en mode benigne si es detectaven eines de desenvolupador, cosa que ajudava el programari maliciós a evadir la detecció.

Capacitats d’atac avançades

Més enllà del seguiment, aquestes extensions podrien organitzar atacs d'adversari al mig (AitM), facilitant:

  • Robatori de credencials.
  • Segrest de sessió.
  • Injecció de codi arbitrari en qualsevol lloc.

La vigilància es va intensificar amb complements de Microsoft Edge com ara WeTab, que capturaven interaccions exhaustives dels usuaris, com ara el comportament de desplaçament, el temps que passaven a les pàgines i totes les empremtes dactilars del navegador. Aquestes extensions ja no estan disponibles per descarregar des dels seus respectius mercats.

Accions recomanades per als usuaris

Aquesta campanya va progressar a través de quatre fases diferents, evolucionant des d'eines legítimes fins a programari espia sofisticat. Tot i que no està clar si el nombre de descàrregues es va inflar artificialment per semblar legítim, el risc per als usuaris continua sent greu. Els usuaris que hagin instal·lat alguna d'aquestes extensions haurien de suprimir-les immediatament i rotar les contrasenyes de tots els comptes en línia.

Exemples d'extensions afectades:

  • Clean Master: el millor netejador de memòria cau de Chrome
  • Speedtest Pro: prova de velocitat d'Internet en línia gratuïta
  • BlockSite
  • Selector de motor de cerca de la barra d'adreces
  • Nova pestanya de SafeSwift
  • Infinity V+ Nova pestanya
  • OneTab Plus: Gestió de pestanyes i productivitat
  • WeTab 新标签页
  • Nova pestanya Infinity per a mòbils
  • Nova pestanya Infinity (Pro)
  • Nova pestanya infinita
  • Nova pestanya Dream Afar
  • Gestor de descàrregues Pro
  • Pàgina d'inici de Galaxy Theme Wallpaper HD 4k
  • Pàgina d'inici de Halo 4K Wallpaper HD
  • Lliçons de ShadyPanda

L'èxit de ShadyPanda subratlla que la sofisticació tècnica per si sola no és necessària, la campanya va prosperar explotant una vulnerabilitat sistèmica als mercats d'extensions de navegador. Les extensions es revisen després de l'enviament, però el comportament posterior a l'aprovació no es controla en gran mesura. Aquesta bretxa de supervisió a llarg termini va permetre que les eines de confiança evolucionessin silenciosament cap a plataformes de vigilància, destacant la necessitat d'una vigilància constant, fins i tot amb programari verificat.

Tendència

Més vist

Carregant...