Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerna proširenja preglednika ShadyPanda

Zlonamjerna proširenja preglednika ShadyPanda

Do Mezo. Malware. godine
Prevedi na:

Upečatljiv primjer dugoročnog kibernetičkog iskorištavanja, prijetnja poznata kao ShadyPanda provela je sedmogodišnju kampanju usmjerenu na proširenja preglednika, akumulirajući preko 4,3 milijuna instalacija. Ova operacija pokazuje kako se čak i legitimni softver može pretvoriti u oružje kada nema odgovarajućeg nadzora.

Od legitimnih alata do zlonamjernih ažuriranja

Pet kompromitiranih proširenja započelo je kao legitimne aplikacije, ali su sredinom 2024. modificirana zlonamjernim funkcionalnostima. Ova ažuriranja privukla su otprilike 300 000 instalacija prije nego što su proširenja na kraju uklonjena. Zlonamjerna ažuriranja omogućila su izvršavanje koda na daljinu svakog sata, omogućujući napadačima preuzimanje i pokretanje proizvoljnog JavaScripta s punim pristupom pregledniku. Nakon što su aktivna, ova proširenja:

  • Pratite svaku posjećenu web stranicu.
  • Izvucite šifriranu povijest pregledavanja.
  • Prikupite potpune otiske prstiju preglednika.

Značajan primjer je Clean Master, koji je prethodno potvrdio Google. Njegov službeni status pomogao je ShadyPandi proširiti svoju korisničku bazu, omogućujući zlonamjerna ažuriranja bez izazivanja sumnje.

Masovni nadzor putem popularnih dodataka

Drugi skup od pet ekstenzija, uključujući WeTab, pratio je korisnike u velikim razmjerima. Ti su dodaci pratili URL-ove, upite tražilica, klikove miša i druge interakcije preglednika, prenoseći podatke na poslužitelje sa sjedištem u Kini. Zajedno su ove ekstenzije instalirane otprilike četiri milijuna puta, a samo WeTab je imao tri milijuna instalacija.

Prve naznake zlonamjernog ponašanja pojavile su se 2023. godine, a uključivale su programere 'nuggetsno15' i 'rocket Zhang', koji su objavili 20 Chromeovih ekstenzija i 125 Edge ekstenzija prikrivenih kao pozadine ili alati za produktivnost.

Iskorištavanje prijevara s partnerima i otmica preglednika

ShadyPandine ekstenzije su se isprva bavile prijevarama s partnerima, ubacujući kodove za praćenje na stranice poput eBaya, Amazona i Booking.coma kako bi generirale nezakonite provizije. Početkom 2024. taktike su eskalirale do aktivne kontrole preglednika, uključujući:

  • Prikupljanje upita za pretraživanje.
  • Preusmjeravanje pretraga putem trovi.com, poznatog otmičara.
  • Izvlačenje kolačića s ciljanih domena.

Do sredine 2024. godine, tri ekstenzije s dugogodišnjom legitimnom upotrebom modificirane su za dohvaćanje JavaScript sadržaja svakog sata s 'api.extensionplay(dot)com', izvršavajući ih kako bi pratile svaki posjet web-mjestu i prenosile šifrirane podatke na 'api.cleanmasters(dot)store'. Sadržaji su bili jako maskirani i ulazili su u benigni način rada ako bi se otkrili alati za razvojne programere, pomažući zlonamjernom softveru da izbjegne otkrivanje.

Napredne mogućnosti napada

Osim praćenja, ova proširenja mogu izvesti napade tipa "protivnik u sredini" (AitM), olakšavajući:

  • Krađa vjerodajnica.
  • Otmica sesije.
  • Ubrizgavanje proizvoljnog koda na bilo koju stranicu.

Nadzor se pojačao dodacima za Microsoft Edge poput WeTaba, koji su bilježili opsežne interakcije korisnika, uključujući ponašanje pomicanja, vrijeme provedeno na stranicama i sve otiske prstiju preglednika. Ova proširenja više nisu dostupna za preuzimanje s njihovih odgovarajućih tržišta.

Preporučene radnje za korisnike

Ova kampanja napredovala je kroz četiri različite faze, razvijajući se od legitimnih alata do sofisticiranog špijunskog softvera. Iako nije jasno jesu li brojevi preuzimanja umjetno napuhani kako bi izgledali legitimno, rizik za korisnike ostaje ozbiljan. Korisnici koji su instalirali bilo koje od ovih proširenja trebali bi odmah ukloniti proširenja i rotirati lozinke za sve online račune.

Primjeri pogođenih proširenja:

  • Clean Master: najbolji čistač predmemorije Chromea
  • Speedtest Pro - besplatni online test brzine interneta
  • BlockSite
  • Prekidač tražilice u adresnoj traci
  • SafeSwift Nova kartica
  • Infinity V+ Nova kartica
  • OneTab Plus: Upravljanje karticama i produktivnost
  • WeTab 新标签页
  • Infinity New Tab za mobilne uređaje
  • Infinity New Tab (Pro)
  • Beskonačna nova kartica
  • Nova kartica snova u daljini
  • Upravitelj preuzimanja Pro
  • Galaxy tema za pozadinu HD 4k početnu stranicu
  • Halo 4K pozadina HD početna stranica
  • Lekcije od ShadyPande

Uspjeh ShadyPande naglašava da sama tehnička sofisticiranost nije potrebna; kampanja je napredovala iskorištavajući sistemsku ranjivost na tržištima proširenja preglednika. Proširenja se pregledavaju nakon slanja, ali ponašanje nakon odobrenja uglavnom se ne nadzire. Ovaj dugoročni nedostatak nadzora omogućio je pouzdanim alatima da se tiho razviju u platforme za nadzor, naglašavajući potrebu za stalnom budnošću, čak i s provjerenim softverom.

U trendu

Nagledanije

Učitavam...