ShadyPanda दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन

दीर्घकालिक साइबर शोषण के एक उल्लेखनीय उदाहरण में, शैडीपांडा नामक एक ख़तरा पैदा करने वाले ने ब्राउज़र एक्सटेंशन को निशाना बनाकर सात साल तक एक अभियान चलाया, जिसमें 43 लाख से ज़्यादा इंस्टॉलेशन हुए। यह अभियान दर्शाता है कि उचित निगरानी के अभाव में वैध सॉफ़्टवेयर को भी कैसे हथियार बनाया जा सकता है।

वैध टूल से लेकर दुर्भावनापूर्ण अपडेट तक

इनमें से पाँच एक्सटेंशन वैध एप्लिकेशन के रूप में शुरू हुए थे, लेकिन 2024 के मध्य में इन्हें दुर्भावनापूर्ण कार्यक्षमता के साथ संशोधित कर दिया गया। इन अपडेट्स को लगभग 3,00,000 बार इंस्टॉल किया गया, जिसके बाद इन्हें अंततः हटा दिया गया। इन दुर्भावनापूर्ण अपडेट्स ने हर घंटे रिमोट कोड निष्पादन को सक्षम किया, जिससे हमलावरों को पूर्ण ब्राउज़र एक्सेस के साथ मनमाना जावास्क्रिप्ट डाउनलोड और चलाने की अनुमति मिली। एक बार सक्रिय होने पर, ये एक्सटेंशन:

• देखी गई प्रत्येक वेबसाइट पर नज़र रखें।
• एन्क्रिप्टेड ब्राउज़िंग इतिहास को एक्सफ़िल्ट्रेट करें.
• संपूर्ण ब्राउज़र फ़िंगरप्रिंट एकत्रित करें.

इसका एक उल्लेखनीय उदाहरण क्लीन मास्टर है, जिसे पहले गूगल द्वारा सत्यापित किया जा चुका था। इसकी आधिकारिक स्थिति ने शैडीपांडा को अपना उपयोगकर्ता आधार बढ़ाने में मदद की, जिससे बिना किसी संदेह के दुर्भावनापूर्ण अपडेट सक्षम हो गए।

लोकप्रिय ऐड-ऑन के माध्यम से बड़े पैमाने पर निगरानी

WeTab सहित पाँच एक्सटेंशन के एक और सेट ने बड़े पैमाने पर उपयोगकर्ताओं की निगरानी की। ये ऐड-ऑन URL, सर्च इंजन क्वेरीज़, माउस क्लिक और अन्य ब्राउज़र इंटरैक्शन को ट्रैक करते थे और डेटा को चीन स्थित सर्वरों तक पहुँचाते थे। कुल मिलाकर, इन एक्सटेंशन को लगभग चार मिलियन बार इंस्टॉल किया गया, जिनमें से अकेले WeTab को तीन मिलियन बार इंस्टॉल किया गया।

दुर्भावनापूर्ण व्यवहार के शुरुआती संकेत 2023 में दिखाई दिए, जिसमें डेवलपर्स 'नगेट्सनो15' और 'रॉकेट झांग' शामिल थे, जिन्होंने वॉलपेपर या उत्पादकता टूल के रूप में प्रच्छन्न 20 क्रोम एक्सटेंशन और 125 एज एक्सटेंशन प्रकाशित किए।

सहबद्ध धोखाधड़ी और ब्राउज़र अपहरण का फायदा उठाना

शैडीपांडा के एक्सटेंशन शुरुआत में एफिलिएट धोखाधड़ी में शामिल थे, अवैध कमीशन कमाने के लिए eBay, Amazon और Booking.com जैसी साइटों में ट्रैकिंग कोड डालकर। 2024 की शुरुआत तक, ये रणनीतियाँ सक्रिय ब्राउज़र नियंत्रण तक पहुँच गईं, जिनमें शामिल हैं:

• खोज क्वेरी कटाई.
• trovi.com, जो एक ज्ञात अपहरणकर्ता है, के माध्यम से खोजों को पुनर्निर्देशित करना।
• लक्षित डोमेन से कुकीज़ को निकालना।

2024 के मध्य तक, लंबे समय से वैध उपयोग वाले तीन एक्सटेंशन को 'api.extensionplay(dot)com' से प्रति घंटा जावास्क्रिप्ट पेलोड प्राप्त करने के लिए संशोधित किया गया था, जिससे उन्हें हर साइट विज़िट की निगरानी करने और एन्क्रिप्टेड डेटा को 'api.cleanmasters(dot)store' तक पहुंचाने के लिए निष्पादित किया गया था। पेलोड को बहुत अधिक अस्पष्ट कर दिया गया था और यदि डेवलपर टूल का पता चला तो वे सौम्य मोड में चले गए, जिससे मैलवेयर का पता लगाने में मदद मिली।

उन्नत आक्रमण क्षमताएँ

ट्रैकिंग के अलावा, ये एक्सटेंशन विरोधी-मध्य (AitM) हमले भी कर सकते हैं, जिससे निम्नलिखित की सुविधा मिलती है:

• क्रेडेंशियल चोरी.
• सत्र अपहरण.
• किसी भी साइट पर मनमाना कोड इंजेक्शन।

WeTab जैसे Microsoft Edge ऐड-ऑन के साथ निगरानी और तेज़ हो गई, जिसने स्क्रॉलिंग व्यवहार, पृष्ठों पर बिताया गया समय और सभी ब्राउज़र फ़िंगरप्रिंट सहित व्यापक उपयोगकर्ता इंटरैक्शन को कैप्चर किया। ये एक्सटेंशन अब अपने संबंधित मार्केटप्लेस से डाउनलोड के लिए उपलब्ध नहीं हैं।

उपयोगकर्ताओं के लिए अनुशंसित क्रियाएँ

यह अभियान चार अलग-अलग चरणों से गुज़रा, जिसमें वैध उपकरणों से लेकर परिष्कृत स्पाइवेयर तक का विकास हुआ। हालाँकि यह स्पष्ट नहीं है कि डाउनलोड की संख्या को वैध दिखाने के लिए कृत्रिम रूप से बढ़ाया गया था या नहीं, उपयोगकर्ताओं के लिए जोखिम गंभीर बना हुआ है। जिन उपयोगकर्ताओं ने इनमें से कोई भी एक्सटेंशन इंस्टॉल किया है, उन्हें तुरंत एक्सटेंशन हटा देना चाहिए और सभी ऑनलाइन खातों के पासवर्ड बदल देने चाहिए।

प्रभावित एक्सटेंशन के उदाहरण:

• क्लीन मास्टर: सर्वश्रेष्ठ क्रोम कैश क्लीनर
• स्पीडटेस्ट प्रो-मुफ़्त ऑनलाइन इंटरनेट स्पीड टेस्ट
• ब्लॉकसाइट
• पता बार खोज इंजन स्विचर
• SafeSwift नया टैब
• इन्फिनिटी V+ नया टैब
• वनटैब प्लस: टैब प्रबंधन और उत्पादकता
• WeTab डाउनलोड करें
• मोबाइल के लिए इन्फिनिटी नया टैब
• इन्फिनिटी नया टैब (प्रो)
• इन्फिनिटी नया टैब
• ड्रीम अफ़ार नया टैब

शैडीपांडा की सफलता इस बात पर ज़ोर देती है कि सिर्फ़ तकनीकी परिष्कार ही ज़रूरी नहीं है, यह अभियान ब्राउज़र एक्सटेंशन बाज़ारों में एक प्रणालीगत कमज़ोरी का फ़ायदा उठाकर फला-फूला। एक्सटेंशन जमा करने के बाद उनकी समीक्षा की जाती है, लेकिन अनुमोदन के बाद के व्यवहार पर ज़्यादातर निगरानी नहीं होती। इस दीर्घकालिक निगरानी अंतराल ने विश्वसनीय उपकरणों को चुपचाप निगरानी प्लेटफ़ॉर्म में बदलने का मौक़ा दिया, जिससे सत्यापित सॉफ़्टवेयर के साथ भी निरंतर सतर्कता की ज़रूरत पर ज़ोर दिया गया।