Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma ShadyPanda-haitalliset selainlaajennukset

ShadyPanda-haitalliset selainlaajennukset

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Räikeä esimerkki pitkäaikaisesta kyberhyökkäysten hyväksikäytöstä on ShadyPanda-niminen uhkatoimija, joka on toteuttanut seitsemän vuotta kestäneen kampanjan selainlaajennuksiin kohdistuen ja kerännyt yli 4,3 miljoonaa asennusta. Tämä operaatio osoittaa, kuinka jopa laillista ohjelmistoa voidaan käyttää aseena ilman asianmukaista valvontaa.

Laillisista työkaluista haitallisiin päivityksiin

Viisi vaarantuneista laajennuksista oli alun perin laillisia sovelluksia, mutta niihin lisättiin haitallisia toimintoja vuoden 2024 puolivälissä. Nämä päivitykset houkuttelivat noin 300 000 asennusta ennen kuin laajennukset lopulta poistettiin. Haitalliset päivitykset mahdollistivat koodin etäsuorittamisen tunnin välein, jolloin hyökkääjät pystyivät lataamaan ja suorittamaan mielivaltaista JavaScriptiä täysillä selainkäyttöoikeuksilla. Aktiivisena ollessaan nämä laajennukset:

  • Seuraa jokaista vierailtua verkkosivustoa.
  • Purkaa salattu selaushistoria.
  • Kerää täydelliset selaimen sormenjäljet.

Merkittävä esimerkki on Clean Master, jonka Google on aiemmin vahvistanut. Sen virallinen status auttoi ShadyPandaa laajentamaan käyttäjäkuntaansa mahdollistamalla haitalliset päivitykset herättämättä epäilyksiä.

Massavalvonta suosittujen lisäosien kautta

Toinen viiden laajennuksen sarja, mukaan lukien WeTab, valvoi käyttäjiä massiivisessa mittakaavassa. Nämä lisäosat seurasivat URL-osoitteita, hakukoneiden kyselyitä, hiiren napsautuksia ja muita selaintoimintoja ja lähettivät tiedot Kiinassa sijaitseville palvelimille. Yhteensä nämä laajennukset asennettiin noin neljä miljoonaa kertaa, joista pelkästään WeTabin osuus oli kolme miljoonaa asennusta.

Ensimmäiset merkit haitallisesta toiminnasta ilmestyivät vuonna 2023, ja niihin liittyivät kehittäjät nuggetsno15 ja rocket Zhang, jotka julkaisivat 20 Chrome-laajennusta ja 125 Edge-laajennusta naamioituna taustakuviksi tai tuottavuustyökaluiksi.

Kumppanuusmarkkinointipetosten ja selaimen kaappausten hyödyntäminen

ShadyPandan laajennukset harjoittivat aluksi kumppanuusmarkkinointipetoksia lisäämällä seurantakoodeja sivustoille, kuten eBay, Amazon ja Booking.com, laittomien palkkioiden tuottamiseksi. Vuoden 2024 alkuun mennessä taktiikat laajenivat aktiiviseen selaimen hallintaan, mukaan lukien:

  • Hakukyselyiden kerääminen.
  • Hakujen uudelleenohjaus tunnetun trovi.com-sivuston kautta.
  • Evästeiden varastaminen kohdennetuilta verkkotunnuksilta.

Vuoden 2024 puoliväliin mennessä kolmea pitkään laillisesti käytettyä laajennusta oli muokattu hakemaan tunneittain JavaScript-hyötykuormia osoitteesta 'api.extensionplay(dot)com', suorittamalla ne jokaisen sivustokäynnin seuraamiseksi ja salattujen tietojen lähettämiseksi osoitteeseen 'api.cleanmasters(dot)store'. Hyötykuormia obfusoitiin voimakkaasti ja ne siirtyivät hyvänlaatuiseen tilaan, jos kehittäjätyökaluja havaittiin, mikä auttoi haittaohjelmaa välttämään havaitsemisen.

Edistyneet hyökkäysominaisuudet

Seurannan lisäksi nämä laajennukset voisivat järjestää välikäden hyökkäyksiä (AitM), mikä helpottaa:

  • Valtakirjojen varastaminen.
  • Istunnon kaappaaminen.
  • Mielivaltainen koodin injektointi millä tahansa sivustolla.

Valvontaa tehostettiin Microsoft Edgen lisäosien, kuten WeTabin, myötä, jotka tallensivat laajoja käyttäjätoimintoja, kuten vierityskäyttäytymistä, sivuilla vietettyä aikaa ja kaikkia selaimen sormenjälkiä. Näitä laajennuksia ei ole enää ladattavissa omilla markkinapaikoillaan.

Suositellut toimenpiteet käyttäjille

Tämä kampanja eteni neljän eri vaiheen läpi kehittyen laillisista työkaluista kehittyneiksi vakoiluohjelmiksi. Vaikka ei ole selvää, paisutettiinko latausmääriä keinotekoisesti laillisuuden näyttämiseksi, käyttäjille aiheutuva riski on edelleen vakava. Käyttäjien, jotka ovat asentaneet jonkin näistä laajennuksista, tulisi poistaa laajennukset välittömästi ja vaihtaa kaikkien verkkotilien salasanat.

Esimerkkejä laajennuksista, joihin tämä vaikuttaa:

  • Clean Master: paras Chrome-välimuistin puhdistaja
  • Speedtest Pro Ilmainen Internet-nopeustesti verkossa
  • BlockSite
  • Osoiterivin hakukoneen vaihtaja
  • SafeSwiftin uusi välilehti
  • Infinity V+ Uusi välilehti
  • OneTab Plus: Välilehtien hallinta ja tuottavuus
  • WeTab 新标签页
  • Infinity Uusi Välilehti Mobiililaitteelle
  • Ääretön uusi välilehti (Pro)
  • Äärettömyys Uusi välilehti
  • Unelma kaukainen uusi välilehti
  • Latausten hallintaohjelma Pro
  • Galaxy-teeman taustakuva HD 4k kotisivu
  • Halo 4K -taustakuvan HD-kotisivu
  • Oppitunteja ShadyPandalta

ShadyPandan menestys korostaa, ettei pelkkä tekninen hienostuneisuus ole välttämätöntä. Kampanja kukoisti hyödyntämällä selainlaajennusten markkinapaikkojen systeemistä haavoittuvuutta. Laajennukset tarkistetaan lähetyksen yhteydessä, mutta hyväksynnän jälkeistä toimintaa ei juurikaan valvota. Tämä pitkäaikainen valvontavaje mahdollisti luotettavien työkalujen hiljaisen kehittymisen valvonta-alustoiksi, mikä korostaa jatkuvan valppauden tarvetta, jopa varmennettujen ohjelmistojen kanssa.

Trendaavat

Saapuvan viestin keskeytys -huijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset jatkavat sähköpostipohjaisten harhautusten kehittämistä, ja ”Saapuvien viestien käsittely keskeytetty” -huijaus on jälleen yksi esimerkki siitä, miten vakuuttavasti muotoiltu roskaposti voi houkutella tietämättömiä vastaanottajia. Nämä vilpilliset hälytykset väittävät virheellisesti, että viestejä pidätetään postilaatikostasi, ja yrittävät ohjata sinut tietojenkalastelusivulle....

Eniten katsottu

Ladataan...