Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara ShadyPanda pahatahtlikud brauserilaiendused

ShadyPanda pahatahtlikud brauserilaiendused

Aastaks Mezo aastal Pahavara
Tõlgi:

Pikaajalise küberrünnaku ilmse näitena on ohutegija ShadyPanda, kes on läbi viinud seitsmeaastase kampaania, mis on suunatud brauserilaienduste vastu, kogudes üle 4,3 miljoni installi. See operatsioon näitab, kuidas isegi legitiimset tarkvara saab relvaks muuta, kui puudub korralik järelevalve.

Seaduslikest tööriistadest pahatahtlike värskendusteni

Viis ohustatud laiendust olid algselt legitiimsed rakendused, kuid 2024. aasta keskel lisati neile pahatahtlikke funktsioone. Enne laienduste lõplikku eemaldamist installiti need värskendused umbes 300 000 korda. Pahatahtlikud värskendused võimaldasid iga tunni tagant koodi kaugkäivitamist, mis võimaldas ründajatel alla laadida ja käivitada suvalist JavaScripti täieliku brauseri juurdepääsuga. Kui need laiendused olid aktiivsed, siis need:

  • Jälgige iga külastatud veebisaiti.
  • Eksfiltreeri krüpteeritud sirvimisajalugu.
  • Koguge brauseri täielikud sõrmejäljed.

Märkimisväärne näide on Clean Master, mille Google oli varem kinnitanud. Selle ametlik staatus aitas ShadyPandal oma kasutajaskonda laiendada, võimaldades pahatahtlikke värskendusi kahtlust tekitamata.

Massiline jälgimine populaarsete lisandmoodulite kaudu

Teine viiest laiendusest koosnev komplekt, sealhulgas WeTab, jälgis kasutajaid massiliselt. Need lisandmoodulid jälgisid URL-e, otsingumootori päringuid, hiireklõpse ja muid brauseri toiminguid, edastades andmeid Hiinas asuvatele serveritele. Kokku installiti neid laiendusi umbes neli miljonit korda, millest ainuüksi WeTabi installiti kolm miljonit korda.

Esimesed märgid pahatahtlikust käitumisest ilmnesid 2023. aastal, hõlmates arendajaid nuggetsno15 ja Rocket Zhangi, kes avaldasid 20 Chrome'i laiendust ja 125 Edge'i laiendust, mis olid maskeeritud taustapiltideks või tööviljakusvahenditeks.

Partnerluspettuste ja brauseri kaaperdamise ärakasutamine

ShadyPanda laiendused tegelesid algselt sidusreklaamipettustega, sisestades jälgimiskoode sellistele saitidele nagu eBay, Amazon ja Booking.com, et genereerida ebaseaduslikke vahendustasusid. 2024. aasta alguseks eskaleerus taktika aktiivse brauserikontrollini, mis hõlmas järgmist:

  • Otsingupäringute kogumine.
  • Otsingute ümbersuunamine läbi trovi.com, mis on tuntud kaaperdaja.
  • Küpsiste väljafiltreerimine sihtdomeenidelt.

2024. aasta keskpaigaks muudeti kolme pikaajaliselt seaduslikult kasutatud laiendust nii, et need tooksid iga tunni tagant JavaScripti kasulikke koormusi saidilt 'api.extensionplay(dot)com', käivitades need iga saidikülastuse jälgimiseks ja krüpteeritud andmete edastamiseks saidile 'api.cleanmasters(dot)store'. Koormused olid tugevalt hägustatud ja läksid healoomulisesse režiimi, kui tuvastati arendustööriistu, aidates pahavaral avastamist vältida.

Täiustatud rünnakuvõimalused

Lisaks jälgimisele võivad need laiendused korraldada vastase keskel (AitM) rünnakuid, hõlbustades:

  • Volikirjade vargus.
  • Seansi kaaperdamine.
  • Suvaline koodisüst mis tahes saidile.

Jälgimist intensiivistati Microsoft Edge'i lisandmoodulitega, näiteks WeTab, mis jäädvustasid ulatuslikke kasutajate interaktsioone, sealhulgas kerimiskäitumist, lehtedel veedetud aega ja kõiki brauseri sõrmejälgi. Neid laiendusi ei saa enam vastavatelt turuplatsidelt alla laadida.

Kasutajatele soovitatavad toimingud

See kampaania läbis neli erinevat etappi, arenedes legitiimsetest tööriistadest keeruka nuhkvarani. Kuigi pole selge, kas allalaadimiste arvu kunstlikult suurendati, et näida legitiimne, on kasutajatele endiselt suur oht. Kasutajad, kes installisid mõne neist laiendustest, peaksid laiendused viivitamatult eemaldama ja kõigi oma kontode paroole vahetama.

Näited mõjutatud laiendustest:

  • Clean Master: parim Chrome'i vahemälu puhastaja
  • Speedtest Pro tasuta interneti kiiruse test veebis
  • BlockSite
  • Aadressiriba otsingumootori vahetaja
  • SafeSwifti uus vahekaart
  • Lõpmatus V+ Uus Vaheleht
  • OneTab Plus: vahelehtede haldamine ja tootlikkus
  • WeTab 新标签页
  • Lõpmatu uus kaart mobiilile
  • Lõpmatu uus kaart (Pro)
  • Lõpmatus Uus Vaheleht
  • Unista kaugelt uuel vahelehel
  • Allalaadimishaldur Pro
  • Galaxy teema taustapilt HD 4k avaleht
  • Halo 4K taustapildi HD avaleht
  • Õppetunnid ShadyPandalt

ShadyPanda edu rõhutab, et ainuüksi tehniline keerukus pole vajalik – kampaania õitses tänu brauserilaienduste turgude süsteemse haavatavuse ärakasutamisele. Laiendusi vaadatakse esitamisel üle, kuid pärast kinnitamist nende käitumist suures osas ei jälgita. See pikaajaline järelevalvelünk võimaldas usaldusväärsetel tööriistadel vaikselt areneda jälgimisplatvormideks, rõhutades pideva valvsuse vajadust isegi kontrollitud tarkvara puhul.

Trendikas

Enim vaadatud

Laadimine...