Slevová nabídka pro více licencí
Databáze hrozeb Malware Škodlivá rozšíření prohlížeče ShadyPanda

Škodlivá rozšíření prohlížeče ShadyPanda

V roce Mezo v roce Malware
Přeložit do:

V pozoruhodném příkladu dlouhodobého kybernetického zneužívání probíhá sedmiletá kampaň útočníka známého jako ShadyPanda zaměřená na rozšíření prohlížečů, během níž bylo instalováno přes 4,3 milionu uživatelů. Tato operace ukazuje, jak lze i legitimní software zneužít jako zbraň, pokud chybí řádný dohled.

Od legitimních nástrojů k škodlivým aktualizacím

Pět z napadených rozšíření původně fungovalo jako legitimní aplikace, ale v polovině roku 2024 bylo upraveno o škodlivé funkce. Tyto aktualizace si před odstraněním přilákaly zhruba 300 000 instalací. Škodlivé aktualizace umožňovaly vzdálené spouštění kódu každou hodinu, což útočníkům umožnilo stahovat a spouštět libovolný JavaScript s plným přístupem k prohlížeči. Jakmile jsou tato rozšíření aktivní:

  • Sledujte každou navštívenou webovou stránku.
  • Exfiltrujte zašifrovanou historii prohlížení.
  • Shromážděte kompletní otisky prstů prohlížeče.

Pozoruhodným příkladem je Clean Master, který byl dříve ověřen společností Google. Jeho oficiální status pomohl ShadyPanda rozšířit uživatelskou základnu a umožnit škodlivé aktualizace, aniž by vzbudily podezření.

Hromadný dohled prostřednictvím oblíbených doplňků

Další sada pěti rozšíření, včetně WeTabu, monitorovala uživatele ve velkém měřítku. Tyto doplňky sledovaly URL adresy, vyhledávací dotazy, kliknutí myší a další interakce prohlížeče a přenášely data na servery v Číně. Dohromady byla tato rozšíření nainstalována přibližně čtyři milionykrát, přičemž samotný WeTab zaznamenal tři miliony instalací.

První náznaky škodlivého chování se objevily v roce 2023 a týkaly se vývojářů nuggetsno15 a rocket Zhang, kteří publikovali 20 rozšíření pro Chrome a 125 rozšíření pro Edge maskovaných jako tapety nebo nástroje pro zvýšení produktivity.

Zneužívání podvodů s affiliate partnery a únosů prohlížečů

Rozšíření ShadyPanda se zpočátku zabývala podvody s affiliate partnery, vkládala sledovací kódy do webů, jako jsou eBay, Amazon a Booking.com, aby generovala nelegální provize. Začátkem roku 2024 se tato taktika rozrostla na aktivní kontrolu prohlížeče, včetně:

  • Sběr vyhledávacích dotazů.
  • Přesměrování vyhledávání přes trovi.com, známý únosce virů.
  • Odebírání souborů cookie z cílových domén.

Do poloviny roku 2024 byla upravena tři rozšíření s dlouhodobým legitimním používáním tak, aby každou hodinu načítala datové části JavaScriptu z adresáře „api.extensionplay(tečka)com“, spouštěla je za účelem monitorování každé návštěvy webu a přenosu šifrovaných dat do „api.cleanmasters(tečka)store“. Datové části byly silně obfuskovány a v případě detekce vývojářských nástrojů přecházely do neškodného režimu, což pomáhalo malwaru vyhnout se detekci.

Pokročilé útočné schopnosti

Kromě sledování by tato rozšíření mohla provádět útoky typu „protivník uprostřed“ (AitM), což by usnadňovalo:

  • Krádež pověřovacích údajů.
  • Únos relace.
  • Vkládání libovolného kódu na libovolný web.

Sledování se zintenzivnilo díky doplňkům pro Microsoft Edge, jako je WeTab, které zaznamenávaly rozsáhlé interakce uživatelů, včetně chování při posouvání, času stráveného na stránkách a všech otisků prstů v prohlížeči. Tato rozšíření již nejsou k dispozici ke stažení z příslušných online tržišť.

Doporučené akce pro uživatele

Tato kampaň prošla čtyřmi odlišnými fázemi, od legitimních nástrojů až po sofistikovaný spyware. I když není jasné, zda byly počty stažení uměle nafouknuté, aby vypadaly legitimně, riziko pro uživatele zůstává značné. Uživatelé, kteří si nainstalovali jakékoli z těchto rozšíření, by měli tato rozšíření okamžitě odstranit a změnit hesla ke všem online účtům.

Příklady dotčených rozšíření:

  • Clean Master: nejlepší čistič mezipaměti Chrome
  • Speedtest Pro – Bezplatný online test rychlosti internetu
  • BlockSite
  • Přepínač vyhledávače v adresním řádku
  • Nová karta SafeSwift
  • Nekonečno V+ Nová karta
  • OneTab Plus: Správa karet a produktivita
  • WeTab 新标签页
  • Nekonečno Nová karta pro mobily
  • Nekonečno Nová karta (Pro)
  • Nekonečno Nová karta
  • Nová záložka snů v dálce
  • Správce stahování Pro
  • Tapeta s tématem Galaxy HD 4k Domovská stránka
  • Domovská stránka tapety Halo 4K HD
  • Lekce od ShadyPandy

Úspěch ShadyPanda podtrhuje, že samotná technická sofistikovanost není nutná. Kampaň vzkvétala díky zneužití systémové zranitelnosti na tržištích s rozšířeními pro prohlížeče. Rozšíření jsou po odeslání kontrolována, ale chování po schválení je do značné míry nemonitorováno. Tato dlouhodobá mezera v dohledu umožnila důvěryhodným nástrojům nenápadně se vyvinout v platformy pro sledování, což zdůrazňuje potřebu neustálé ostražitosti, a to i u ověřeného softwaru.

Trendy

Příchozí zpráva pozastavena – podvod

Phishing, Spam
Kyberzločinci neustále zdokonalují podvodné metody založené na e-mailech a podvod „Příchozí zpráva pozastavena“ je dalším příkladem toho, jak přesvědčivě vytvořený spam dokáže nalákat nic netušící příjemce. Tato podvodná upozornění falešně tvrdí, že zprávy jsou z vaší schránky zadržovány, a snaží se vás donutit k přesměrování na phishingovou stránku. Je nezbytné si uvědomit, že tyto e-maily...

Nejvíce shlédnuto

Načítání...