Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλες επεκτάσεις προγράμματος περιήγησης ShadyPanda

Κακόβουλες επεκτάσεις προγράμματος περιήγησης ShadyPanda

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Σε ένα εντυπωσιακό παράδειγμα μακροχρόνιας εκμετάλλευσης στον κυβερνοχώρο, ένας απειλητικός φορέας γνωστός ως ShadyPanda διεξήγαγε μια επταετή εκστρατεία που στόχευε τις επεκτάσεις του προγράμματος περιήγησης, συγκεντρώνοντας πάνω από 4,3 εκατομμύρια εγκαταστάσεις. Αυτή η επιχείρηση καταδεικνύει πώς ακόμη και το νόμιμο λογισμικό μπορεί να μετατραπεί σε όπλο όταν απουσιάζει η κατάλληλη εποπτεία.

Από νόμιμα εργαλεία έως κακόβουλες ενημερώσεις

Πέντε από τις παραβιασμένες επεκτάσεις ξεκίνησαν ως νόμιμες εφαρμογές, αλλά τροποποιήθηκαν με κακόβουλη λειτουργικότητα στα μέσα του 2024. Αυτές οι ενημερώσεις προσέλκυσαν περίπου 300.000 εγκαταστάσεις πριν τελικά καταργηθούν οι επεκτάσεις. Οι κακόβουλες ενημερώσεις επέτρεψαν την εκτέλεση κώδικα από απόσταση ανά ώρα, επιτρέποντας στους εισβολείς να κατεβάζουν και να εκτελούν αυθαίρετο JavaScript με πλήρη πρόσβαση στο πρόγραμμα περιήγησης. Μόλις ενεργοποιηθούν, αυτές οι επεκτάσεις:

  • Παρακολουθήστε κάθε ιστότοπο που επισκέπτεστε.
  • Απομάκρυνση κρυπτογραφημένου ιστορικού περιήγησης.
  • Συλλέξτε πλήρη δακτυλικά αποτυπώματα του προγράμματος περιήγησης.

Ένα αξιοσημείωτο παράδειγμα είναι το Clean Master, το οποίο είχε επαληθευτεί προηγουμένως από την Google. Η επίσημη κατάστασή του βοήθησε την ShadyPanda να επεκτείνει τη βάση χρηστών της, επιτρέποντας κακόβουλες ενημερώσεις χωρίς να εγείρουν υποψίες.

Μαζική επιτήρηση μέσω δημοφιλών πρόσθετων

Ένα άλλο σύνολο πέντε επεκτάσεων, συμπεριλαμβανομένου του WeTab, παρακολουθούσε τους χρήστες σε τεράστια κλίμακα. Αυτά τα πρόσθετα παρακολούθησαν διευθύνσεις URL, ερωτήματα μηχανών αναζήτησης, κλικ του ποντικιού και άλλες αλληλεπιδράσεις του προγράμματος περιήγησης, μεταδίδοντας τα δεδομένα σε διακομιστές που βρίσκονται στην Κίνα. Συνολικά, αυτές οι επεκτάσεις εγκαταστάθηκαν περίπου τέσσερα εκατομμύρια φορές, με το WeTab μόνο του να αντιπροσωπεύει τρία εκατομμύρια εγκαταστάσεις.

Πρώιμες ενδείξεις κακόβουλης συμπεριφοράς εμφανίστηκαν το 2023, με τη συμμετοχή των προγραμματιστών nuggetsno15' και 'rocket Zhang', οι οποίοι δημοσίευσαν 20 επεκτάσεις Chrome και 125 επεκτάσεις Edge μεταμφιεσμένες ως ταπετσαρία ή εργαλεία παραγωγικότητας.

Εκμετάλλευση απάτης συνεργατών και παραβίασης προγραμμάτων περιήγησης

Οι επεκτάσεις της ShadyPanda αρχικά ασχολούνταν με απάτες συνεργατών, εισάγοντας κώδικες παρακολούθησης σε ιστότοπους όπως το eBay, το Amazon και το Booking.com για να δημιουργήσουν παράνομες προμήθειες. Στις αρχές του 2024, οι τακτικές κλιμακώθηκαν σε ενεργό έλεγχο του προγράμματος περιήγησης, όπως:

  • Συλλογή ερωτημάτων αναζήτησης.
  • Ανακατεύθυνση αναζητήσεων μέσω του trovi.com, ενός γνωστού αεροπειρατή.
  • Απομάκρυνση cookie από στοχευμένους τομείς.

Μέχρι τα μέσα του 2024, τρεις επεκτάσεις με μακροχρόνια νόμιμη χρήση τροποποιήθηκαν για να ανακτούν ωριαία φορτία JavaScript από το 'api.extensionplay(dot)com', εκτελώντας τα για να παρακολουθούν κάθε επίσκεψη στον ιστότοπο και να μεταδίδουν κρυπτογραφημένα δεδομένα στο 'api.cleanmasters(dot)store'. Τα φορτία συσκοτίστηκαν σε μεγάλο βαθμό και εισήλθαν σε καλοήθη λειτουργία εάν ανιχνεύονταν εργαλεία προγραμματιστών, βοηθώντας το κακόβουλο λογισμικό να αποφύγει την ανίχνευση.

Προηγμένες Δυνατότητες Επίθεσης

Πέρα από την παρακολούθηση, αυτές οι επεκτάσεις θα μπορούσαν να πραγματοποιήσουν επιθέσεις «αντίπαλου στη μέση» (AitM), διευκολύνοντας:

  • Κλοπή διαπιστευτηρίων.
  • Υπερβολική χρήση συνεδρίας.
  • Αυθαίρετη εισαγωγή κώδικα σε οποιαδήποτε τοποθεσία.

Η επιτήρηση εντάθηκε με πρόσθετα του Microsoft Edge όπως το WeTab, τα οποία κατέγραφαν εκτεταμένες αλληλεπιδράσεις χρηστών, συμπεριλαμβανομένης της συμπεριφοράς κύλισης, του χρόνου που αφιερώνεται στις σελίδες και όλων των δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης. Αυτές οι επεκτάσεις δεν είναι πλέον διαθέσιμες για λήψη από τις αντίστοιχες αγορές τους.

Προτεινόμενες ενέργειες για χρήστες

Αυτή η καμπάνια εξελίχθηκε σε τέσσερις διακριτές φάσεις, εξελισσόμενη από νόμιμα εργαλεία σε εξελιγμένο λογισμικό κατασκοπείας. Ενώ δεν είναι σαφές εάν ο αριθμός των λήψεων διογκώθηκε τεχνητά για να φαίνεται νόμιμος, ο κίνδυνος για τους χρήστες παραμένει σοβαρός. Οι χρήστες που εγκατέστησαν οποιαδήποτε από αυτές τις επεκτάσεις θα πρέπει να τις αφαιρέσουν αμέσως και να εναλλάσσουν τους κωδικούς πρόσβασης για όλους τους διαδικτυακούς λογαριασμούς.

Παραδείγματα επεκτάσεων που επηρεάζονται:

  • Clean Master: το καλύτερο πρόγραμμα καθαρισμού προσωρινής μνήμης Chrome
  • Speedtest Pro - Δωρεάν online δοκιμή ταχύτητας internet
  • BlockSite
  • Εναλλαγή μηχανής αναζήτησης στη γραμμή διευθύνσεων
  • Νέα καρτέλα SafeSwift
  • Infinity V+ Νέα καρτέλα
  • OneTab Plus: Διαχείριση καρτελών και παραγωγικότητα
  • WeTab 新标签页
  • Νέα καρτέλα Infinity για κινητά
  • Νέα καρτέλα Infinity (Pro)
  • Νέα καρτέλα Infinity
  • Όνειρο Μακριά Νέα Καρτέλα
  • Διαχείριση λήψεων Pro
  • Ταπετσαρία με θέμα Galaxy HD 4k Αρχική σελίδα
  • Αρχική σελίδα ταπετσαρίας Halo 4K HD
  • Μαθήματα από το ShadyPanda

    • Η επιτυχία του ShadyPanda υπογραμμίζει ότι η τεχνική πολυπλοκότητα από μόνη της δεν είναι απαραίτητη. Η καμπάνια άνθισε εκμεταλλευόμενη μια συστημική ευπάθεια στις αγορές επεκτάσεων προγραμμάτων περιήγησης. Οι επεκτάσεις ελέγχονται κατά την υποβολή, αλλά η συμπεριφορά μετά την έγκριση δεν παρακολουθείται σε μεγάλο βαθμό. Αυτό το μακροπρόθεσμο κενό εποπτείας επέτρεψε σε αξιόπιστα εργαλεία να εξελιχθούν αθόρυβα σε πλατφόρμες επιτήρησης, υπογραμμίζοντας την ανάγκη για συνεχή επαγρύπνηση, ακόμη και με επαληθευμένο λογισμικό.

    Τάσεις

    Απάτη SafariBookings

    Phishing, Ανεπιθύμητη αλληλογραφία
    Οι κυβερνοεγκληματίες εκμεταλλεύονται τον ταξιδιωτικό κλάδο με μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) γνωστή ως απάτη SafariBookings. Αυτά τα email δεν συνδέονται με καμία νόμιμη εταιρεία, οργανισμό ή πάροχο υπηρεσιών. Έχουν σχεδιαστεί για να εμφανίζονται ως επίσημα μηνύματα από μια υπηρεσία κρατήσεων ταξιδιών, αλλά ο μοναδικός σκοπός τους είναι να εξαπατήσουν τους παραλήπτες ώστε να...

    Απάτη με παύση εισερχόμενου μηνύματος

    Phishing, Ανεπιθύμητη αλληλογραφία
    Οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν την εξαπάτηση που βασίζεται σε email και η απάτη «Παύση Εισερχόμενων Μηνυμάτων» είναι ένα ακόμη παράδειγμα του πώς τα πειστικά σχεδιασμένα ανεπιθύμητα μηνύματα μπορούν να δελεάσουν ανυποψίαστους παραλήπτες. Αυτές οι δόλιες ειδοποιήσεις ισχυρίζονται ψευδώς ότι τα μηνύματα αποκρύπτονται από τα εισερχόμενά σας και επιχειρούν να σας ωθήσουν προς μια...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    30,345
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...