Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware ShadyPanda rosszindulatú böngészőbővítmények

ShadyPanda rosszindulatú böngészőbővítmények

Mezo -ra Malware-ben
Fordítás ide:

A hosszú távú kibertámadások egyik szembetűnő példájaként a ShadyPanda néven ismert kiberfenyegető szereplő hét éven át tartó kampányt folytatott a böngészőbővítmények ellen, több mint 4,3 millió telepítést halmozva fel. Ez a művelet jól mutatja, hogy még a legitim szoftverek is fegyverré válhatnak megfelelő felügyelet hiányában.

A legitim eszközöktől a rosszindulatú frissítésekig

A feltört bővítmények közül öt eredetileg legitim alkalmazásként indult, de 2024 közepén rosszindulatú funkciókkal módosították őket. Ezek a frissítések nagyjából 300 000 telepítést vonzottak, mielőtt végül eltávolították őket. A rosszindulatú frissítések óránkénti távoli kódfuttatást tettek lehetővé, lehetővé téve a támadók számára, hogy tetszőleges JavaScript kódot töltsenek le és futtassanak teljes böngészőhozzáféréssel. Aktiválás után ezek a bővítmények:

  • Figyelj minden meglátogatott weboldalt.
  • Titkosított böngészési előzmények kiszivárgása.
  • Teljes böngésző ujjlenyomatok gyűjtése.

Figyelemre méltó példa erre a Clean Master, amelyet korábban a Google is hitelesített. Hivatalos státusza segített a ShadyPandának bővíteni felhasználói bázisát, gyanútlanul engedélyezve a rosszindulatú frissítéseket.

Tömeges megfigyelés népszerű kiegészítőkön keresztül

Egy másik, öt bővítményből álló készlet, köztük a WeTab, nagymértékben figyelte a felhasználókat. Ezek a kiegészítők URL-eket, keresőmotor-lekérdezéseket, egérkattintásokat és más böngésző-interakciókat követtek nyomon, és az adatokat Kínában található szerverekre továbbították. Ezeket a bővítményeket összesen körülbelül négymillió alkalommal telepítették, amelyből a WeTab önmagában hárommillió telepítést eredményezett.

A rosszindulatú viselkedés korai jelei 2023-ban jelentek meg, amelyek a „nuggetsno15” és a „rocket Zhang” fejlesztőket érintették, akik 20 Chrome-bővítményt és 125 Edge-bővítményt tettek közzé háttérképnek vagy termelékenységi eszköznek álcázva.

Partnercsalások és böngészőeltérítések kihasználása

A ShadyPanda kiterjesztései kezdetben partnercsalásokban vettek részt, követőkódokat juttatva olyan oldalakra, mint az eBay, az Amazon és a Booking.com, hogy illegális jutalékokat generáljanak. 2024 elejére a taktika az aktív böngészővezérlésig fajult, beleértve a következőket:

  • Keresési lekérdezések begyűjtése.
  • Keresések átirányítása a trovi.com webhelyen keresztül, amely egy ismert eltérítő.
  • Sütik kinyerése célzott domainekről.

2024 közepére három, régóta legitim módon használt bővítményt módosítottak, hogy óránként JavaScript hasznos adatokat kérjenek le az 'api.extensionplay(dot)com' webhelyről, végrehajtva azokat minden webhelylátogatás monitorozására és titkosított adatok továbbítására az 'api.cleanmasters(dot)store' webhelyre. A hasznos adatokat erősen obfuszkálták, és jóindulatú módba léptek, ha fejlesztői eszközöket észleltek, így segítve a rosszindulatú programnak elkerülni az észlelést.

Fejlett támadási képességek

A követésen túl ezek a kiterjesztések képesek lehetnek közbeeső (AitM) támadások végrehajtására is, elősegítve a következőket:

  • Hitelesítő adatok ellopása.
  • Munkamenet-eltérítés.
  • Tetszőleges kódbefecskendezés bármely webhelyen.

A megfigyelés fokozódott a Microsoft Edge bővítményeivel, mint például a WeTab, amelyek kiterjedt felhasználói interakciókat rögzítettek, beleértve a görgetési viselkedést, az oldalakon eltöltött időt és az összes böngésző ujjlenyomatát. Ezek a bővítmények már nem tölthetők le a megfelelő piacterekről.

Ajánlott műveletek felhasználók számára

Ez a kampány négy különálló fázison ment keresztül, a legitim eszközöktől a kifinomult kémprogramokig. Bár nem világos, hogy mesterségesen felfújták-e a letöltések számát, hogy legitimnek tűnjenek, a felhasználókra leselkedő kockázat továbbra is komoly. Azoknak a felhasználóknak, akik telepítették ezen bővítmények bármelyikét, azonnal el kell távolítaniuk a bővítményeket, és le kell cserélniük a jelszavukat minden online fiókjukhoz.

Az érintett bővítményekre példák:

  • Clean Master: a legjobb Chrome gyorsítótár-tisztító
  • Speedtest Pro Ingyenes online internetsebesség-teszt
  • BlockSite
  • Címsáv keresőmotor-váltó
  • SafeSwift Új lap
  • Infinity V+ Új lap
  • OneTab Plus: Lapkezelés és hatékonyságnövelés
  • WeTab 新标签页
  • Infinity új lap mobilra
  • Végtelen Új Lap (Pro)
  • Végtelen Új Lap
  • Álom Messziről Új Lap
  • Letöltéskezelő Pro
  • Galaxy téma háttérkép HD 4k kezdőlap
  • Halo 4K háttérkép HD kezdőlap
  • Tanulságok ShadyPandától

A ShadyPanda sikere rávilágít arra, hogy a technikai kifinomultság önmagában nem szükséges, a kampány a böngészőbővítmények piactereinek rendszerszintű sebezhetőségének kihasználásával virágzott. A bővítményeket a beküldéskor felülvizsgálják, de a jóváhagyás utáni viselkedést nagyrészt nem ellenőrzik. Ez a hosszú távú felügyeleti hiányosság lehetővé tette, hogy a megbízható eszközök csendben megfigyelő platformokká fejlődjenek, rávilágítva az állandó éberség szükségességére, még az ellenőrzött szoftverek esetében is.

Felkapott

Bejövő üzenet szüneteltetése – Átverés

Adathalászat, Spam
A kiberbűnözők folyamatosan finomítják az e-mail alapú megtévesztéseket, és a „Bejövő üzenetek szüneteltetése” átverés egy újabb példa arra, hogy a meggyőzően megfogalmazott spam hogyan csábíthatja a gyanútlan címzetteket. Ezek a csalárd riasztások hamisan azt állítják, hogy az üzeneteket visszatartják a beérkező levelek mappájából, és megpróbálják egy adathalász oldalra terelni Önt. Fontos...

Legnézettebb

Betöltés...