הרחבות דפדפן זדוניות של ShadyPanda

בדוגמה בולטת לניצול סייבר ארוך טווח, גורם איום המכונה ShadyPanda ניהל קמפיין בן שבע שנים שמטרתו הייתה להרחיב את דפדפן הרחבות, וצבר למעלה מ-4.3 מיליון התקנות. מבצע זה מדגים כיצד אפילו תוכנה לגיטימית יכולה להיות נשק כאשר פיקוח נאות אינו קיים.

מכלים לגיטימיים ועד לעדכונים זדוניים

חמישה מההרחבות שנפגעו החלו כאפליקציות לגיטימיות אך שונו בפונקציונליות זדונית באמצע 2024. עדכונים אלה משכו כ-300,000 התקנות לפני שההרחבות הוסרו בסופו של דבר. העדכונים הזדוניים אפשרו ביצוע קוד מרחוק מדי שעה, מה שאפשר לתוקפים להוריד ולהפעיל JavaScript שרירותי עם גישה מלאה לדפדפן. לאחר שהן פעילות, ההרחבות הללו:

• עקוב אחר כל אתר אינטרנט שמבקרים בו.
• לחלץ היסטוריית גלישה מוצפנת.
• איסוף טביעות אצבע מלאות של הדפדפן.

דוגמה בולטת לכך היא Clean Master, שאומת בעבר על ידי גוגל. הסטטוס הרשמי שלו עזר ל-ShadyPanda להרחיב את בסיס המשתמשים שלה, ואפשר עדכונים זדוניים מבלי לעורר חשד.

מעקב המוני באמצעות תוספים פופולריים

קבוצה נוספת של חמישה תוספים, כולל WeTab, ניטרה משתמשים בקנה מידה עצום. תוספים אלה עקבו אחר כתובות URL, שאילתות מנועי חיפוש, לחיצות עכבר ואינטראקציות אחרות של דפדפן, והעבירו את הנתונים לשרתים הממוקמים בסין. בסך הכל, תוספים אלה הותקנו כארבעה מיליון פעמים, כאשר WeTab לבדה אחראית לשלושה מיליון התקנות.

סימנים ראשוניים להתנהגות זדונית הופיעו בשנת 2023, כאשר היו מעורבים המפתחים nuggetsno15 ו-'rocket Zhang', שפרסמו 20 הרחבות לכרום ו-125 הרחבות ל-Edge במסווה של טפטים או כלי פרודוקטיביות.

ניצול הונאת שותפים וחטיפת דפדפן

התוספים של ShadyPanda עסקו בתחילה בהונאת שותפים, והחדירו קודי מעקב לאתרים כמו eBay, Amazon ו-Booking.com כדי לייצר עמלות לא חוקיות. בתחילת 2024, הטקטיקות התפתחו לשליטה אקטיבית בדפדפנים, כולל:

• איסוף שאילתות חיפוש.
• ניתוב מחדש של חיפושים דרך trovi.com, חוטף ידוע.
• חילוץ קובצי Cookie מדומיינים ממוקדים.

עד אמצע 2024, שלוש הרחבות עם שימוש לגיטימי ארוך שנים שונו כדי לאחזר טעינות JavaScript מדי שעה מ-'api.extensionplay(dot)com', תוך הפעלתן כדי לנטר כל ביקור באתר ולשדר נתונים מוצפנים ל-'api.cleanmasters(dot)store'. המטענים טושטשו מאוד ונכנסו למצב תקין אם זוהו כלי פיתוח, מה שסייע לתוכנה הזדונית לחמוק מגילוי.

יכולות התקפה מתקדמות

מעבר למעקב, הרחבות אלו יכולות לבצע התקפות של "אויב באמצע" (AitM), ובכך להקל על:

• גניבת אישורים.
• חטיפת סשן.
• הזרקת קוד שרירותית בכל אתר.

המעקב התעצם עם תוספים של Microsoft Edge כמו WeTab, אשר לכדו אינטראקציות משתמש נרחבות, כולל התנהגות גלילה, זמן שהוקדש לדפים וכל טביעות האצבע של הדפדפן. תוספים אלה אינם זמינים עוד להורדה מהשווקים המתאימים להם.

פעולות מומלצות למשתמשים

קמפיין זה התקדם דרך ארבעה שלבים נפרדים, והתפתח מכלי תוכנה לגיטימיים לתוכנות ריגול מתוחכמות. אמנם לא ברור אם ספירת ההורדות נופחה באופן מלאכותי כדי להיראות לגיטימית, אך הסיכון למשתמשים נותר חמור. משתמשים שהתקינו אחת מההרחבות הללו צריכים להסיר את ההרחבות באופן מיידי ולסובב סיסמאות עבור כל החשבונות המקוונים.

דוגמאות לתוספים שנפגעו:

• Clean Master: מנקה המטמון הטוב ביותר של Chrome
• Speedtest Pro - בדיקת מהירות אינטרנט מקוונת בחינם
• בלוק סייט
• מתג מנוע חיפוש בשורת הכתובת
• כרטיסייה חדשה של SafeSwift
• אינפיניטי V+ כרטיסייה חדשה
• OneTab Plus: ניהול טאבים ופרודוקטיביות
• WeTab 新标签页
• אינפיניטי טאב חדש למובייל
• טאב חדש של אינפיניטי (פרו)
• כרטיסייה חדשה של אינפיניטי
• חלום רחוק כרטיסייה חדשה

הצלחתה של ShadyPanda מדגישה כי תחכום טכני לבדו אינו הכרחי, הקמפיין שגשג הודות לניצול פגיעות מערכתית בשווקי הרחבות דפדפנים. הרחבות נבדקות עם הגשתן, אך ההתנהגות לאחר אישורן אינה מנוטרת במידה רבה. פער פיקוח ארוך טווח זה איפשר לכלים מהימנים להתפתח בשקט לפלטפורמות מעקב, מה שמדגיש את הצורך בערנות מתמדת, אפילו עם תוכנה מאומתת.