Rabattilbud med flere licenser
Trusseldatabase Malware ShadyPanda Ondsindede browserudvidelser

ShadyPanda Ondsindede browserudvidelser

Med Mezo i Malware
Oversæt til:

I et slående eksempel på langvarig cyberudnyttelse har en trusselsaktør kendt som ShadyPanda gennemført en syvårig kampagne rettet mod browserudvidelser og akkumuleret over 4,3 millioner installationer. Denne operation demonstrerer, hvordan selv legitim software kan blive brugt som våben, når der ikke er ordentligt tilsyn.

Fra legitime værktøjer til skadelige opdateringer

Fem af de kompromitterede udvidelser startede som legitime applikationer, men blev ændret med skadelig funktionalitet i midten af 2024. Disse opdateringer tiltrak omkring 300.000 installationer, før udvidelserne endelig blev fjernet. De skadelige opdateringer muliggjorde timebaseret fjernudførelse af kode, hvilket gjorde det muligt for angribere at downloade og køre vilkårlig JavaScript med fuld browseradgang. Når de er aktive, vil disse udvidelser:

  • Overvåg alle besøgte websteder.
  • Eksfiltrér krypteret browserhistorik.
  • Indsaml komplette browserfingeraftryk.

Et bemærkelsesværdigt eksempel er Clean Master, som tidligere er blevet verificeret af Google. Dens officielle status hjalp ShadyPanda med at udvide sin brugerbase og muliggøre ondsindede opdateringer uden at vække mistanke.

Masseovervågning gennem populære tilføjelser

Et andet sæt af fem udvidelser, inklusive WeTab, overvågede brugere i massiv skala. Disse tilføjelser sporede URL'er, søgemaskineforespørgsler, museklik og andre browserinteraktioner og sendte dataene til servere i Kina. Samlet set blev disse udvidelser installeret cirka fire millioner gange, hvor WeTab alene tegnede sig for tre millioner installationer.

Tidlige indikationer på ondsindet adfærd dukkede op i 2023, involverende udviklerne 'nuggetsno15' og 'rocket Zhang', som udgav 20 Chrome-udvidelser og 125 Edge-udvidelser forklædt som baggrund eller produktivitetsværktøjer.

Udnyttelse af affiliate-svindel og browserkapring

ShadyPandas udvidelser beskæftigede sig i starten med affiliate-svindel ved at indsprøjte sporingskoder på websteder som eBay, Amazon og Booking.com for at generere ulovlige provisioner. I begyndelsen af 2024 eskalerede taktikken til aktiv browserkontrol, herunder:

  • Indsamling af søgeforespørgsler.
  • Omdirigerer søgninger via trovi.com, en kendt hijacker.
  • Eksfiltrering af cookies fra målrettede domæner.

I midten af 2024 blev tre udvidelser med langvarig legitim brug modificeret til at hente JavaScript-nyttelast hver time fra 'api.extensionplay(dot)com', hvorefter de blev udført for at overvåge hvert besøg på webstedet og overføre krypterede data til 'api.cleanmasters(dot)store'. Nyttelastene var stærkt tilsløret og gik i godartet tilstand, hvis der blev opdaget udviklerværktøjer, hvilket hjalp malwaren med at undgå at blive opdaget.

Avancerede angrebsfunktioner

Ud over sporing kan disse udvidelser udføre AitM-angreb (adversary-in-the-middle), hvilket muliggør:

  • Tyveri af legitimationsoplysninger.
  • Sessionskapning.
  • Vilkårlig kodeindsprøjtning på ethvert websted.

Overvågningen blev intensiveret med Microsoft Edge-tilføjelser som WeTab, der registrerede omfattende brugerinteraktioner, herunder scrolleadfærd, tid brugt på sider og alle browserfingeraftryk. Disse udvidelser kan ikke længere downloades fra deres respektive markedspladser.

Anbefalede handlinger for brugere

Denne kampagne gennemgik fire forskellige faser, der udviklede sig fra legitime værktøjer til sofistikeret spyware. Selvom det er uklart, om downloadtallene blev kunstigt oppustet for at se legitime ud, er risikoen for brugerne fortsat alvorlig. Brugere, der har installeret en af disse udvidelser, bør fjerne udvidelserne med det samme og rotere adgangskoder for alle onlinekonti.

Eksempler på berørte udvidelser:

  • Clean Master: den bedste Chrome Cache-renser
  • Speedtest Pro - Gratis online internethastighedstest
  • BlockSite
  • Søgemaskineskifter i adresselinjen
  • SafeSwift Ny fane
  • Infinity V+ Ny fane
  • OneTab Plus: Fanebladshåndtering og produktivitet
  • WeTab 新标签页
  • Infinity Ny fane til mobil
  • Infinity Ny fane (Pro)
  • Uendelig Ny Fane
  • Drøm langt væk Ny fane
  • Download Manager Pro
  • Galaxy Tema Baggrund HD 4k Hjemmeside
  • Halo 4K Wallpaper HD Hjemmeside
  • Lektioner fra ShadyPanda

ShadyPandas succes understreger, at teknisk sofistikering alene ikke er nødvendig. Kampagnen trivedes ved at udnytte en systemisk sårbarhed på markedspladserne for browserudvidelser. Udvidelser gennemgås ved indsendelse, men adfærd efter godkendelse overvåges stort set ikke. Dette langvarige tilsynshul tillod pålidelige værktøjer stille og roligt at udvikle sig til overvågningsplatforme, hvilket understreger behovet for konstant årvågenhed, selv med verificeret software.

Trending

Mest sete

Indlæser...