Preventivo sconto multi-licenza
Database delle minacce Malware Estensioni del browser dannose ShadyPanda

Estensioni del browser dannose ShadyPanda

Entro Mezo nel Malware
Traduci in:

In un esempio lampante di sfruttamento informatico a lungo termine, un autore di minacce noto come ShadyPanda ha condotto una campagna durata sette anni contro le estensioni del browser, accumulando oltre 4,3 milioni di installazioni. Questa operazione dimostra come anche un software legittimo possa essere trasformato in un'arma in assenza di un'adeguata supervisione.

Da strumenti legittimi ad aggiornamenti dannosi

Cinque delle estensioni compromesse erano inizialmente applicazioni legittime, ma sono state modificate con funzionalità dannose a metà del 2024. Questi aggiornamenti hanno generato circa 300.000 installazioni prima che le estensioni venissero infine rimosse. Gli aggiornamenti dannosi consentivano l'esecuzione di codice remoto ogni ora, consentendo agli aggressori di scaricare ed eseguire codice JavaScript arbitrario con accesso completo al browser. Una volta attive, queste estensioni:

  • Monitora ogni sito web visitato.
  • Esfiltrare la cronologia di navigazione crittografata.
  • Raccogli le impronte digitali complete del browser.

Un esempio degno di nota è Clean Master, precedentemente verificato da Google. Il suo status ufficiale ha aiutato ShadyPanda ad ampliare la sua base di utenti, consentendo aggiornamenti dannosi senza destare sospetti.

Sorveglianza di massa tramite componenti aggiuntivi popolari

Un altro set di cinque estensioni, tra cui WeTab, monitorava gli utenti su larga scala. Questi componenti aggiuntivi tracciavano URL, query sui motori di ricerca, clic del mouse e altre interazioni con il browser, trasmettendo i dati a server con sede in Cina. Complessivamente, queste estensioni sono state installate circa quattro milioni di volte, di cui WeTab da solo ne ha registrate tre milioni.

I primi segnali di comportamenti dannosi sono comparsi nel 2023, coinvolgendo gli sviluppatori "nuggetsno15" e "rocket Zhang", che hanno pubblicato 20 estensioni per Chrome e 125 estensioni per Edge camuffate da sfondi o strumenti di produttività.

Sfruttamento delle frodi di affiliazione e del dirottamento del browser

Inizialmente, le estensioni di ShadyPanda erano coinvolte in frodi di affiliazione, inserendo codici di tracciamento in siti come eBay, Amazon e Booking.com per generare commissioni illecite. All'inizio del 2024, le tattiche si sono evolute fino al controllo attivo del browser, tra cui:

  • Raccolta di query di ricerca.
  • Reindirizzamento delle ricerche tramite trovi.com, un noto dirottatore.
  • Esfiltrazione di cookie da domini mirati.

Entro la metà del 2024, tre estensioni con un uso legittimo di lunga data sono state modificate per recuperare payload JavaScript orari da "api.extensionplay(dot)com", eseguirli per monitorare ogni visita al sito e trasmettere dati crittografati ad "api.cleanmasters(dot)store". I payload erano pesantemente offuscati ed entravano in modalità benigna se venivano rilevati strumenti per sviluppatori, aiutando il malware a eludere il rilevamento.

Capacità di attacco avanzate

Oltre al tracciamento, queste estensioni potrebbero organizzare attacchi Adversary-in-the-Middle (AitM), facilitando:

  • Furto di credenziali.
  • Dirottamento di sessione.
  • Iniezione di codice arbitrario su qualsiasi sito.

La sorveglianza si è intensificata con componenti aggiuntivi di Microsoft Edge come WeTab, che hanno registrato ampie interazioni degli utenti, tra cui il comportamento di scorrimento, il tempo trascorso sulle pagine e tutte le impronte digitali del browser. Queste estensioni non sono più disponibili per il download dai rispettivi marketplace.

Azioni consigliate per gli utenti

Questa campagna si è sviluppata attraverso quattro fasi distinte, evolvendosi da strumenti legittimi a spyware sofisticati. Sebbene non sia chiaro se il numero di download sia stato artificialmente gonfiato per apparire legittimo, il rischio per gli utenti rimane grave. Gli utenti che hanno installato una qualsiasi di queste estensioni dovrebbero rimuoverle immediatamente e modificare le password per tutti gli account online.

Esempi di estensioni interessate:

  • Clean Master: il miglior pulitore della cache di Chrome
  • Speedtest Pro - Test di velocità Internet online gratuito
  • Sito di blocco
  • Selettore del motore di ricerca nella barra degli indirizzi
  • Nuova scheda SafeSwift
  • Infinity V+ Nuova scheda
  • OneTab Plus: gestione delle schede e produttività
  • WeTab 新标签页
  • Infinity New Tab per dispositivi mobili
  • Nuova scheda Infinity (Pro)
  • Nuova scheda Infinity
  • Sogna lontano Nuova scheda
  • Download Manager Pro
  • Sfondo tema galassia HD 4k HomePage
  • Pagina iniziale di Halo 4K Wallpaper HD
  • Lezioni da ShadyPanda

Il successo di ShadyPanda sottolinea che la sofisticatezza tecnica da sola non è necessaria: la campagna ha prosperato sfruttando una vulnerabilità sistemica nei marketplace delle estensioni dei browser. Le estensioni vengono esaminate al momento dell'invio, ma il comportamento post-approvazione è in gran parte non monitorato. Questa lacuna di supervisione a lungo termine ha permesso a strumenti affidabili di evolversi silenziosamente in piattaforme di sorveglianza, evidenziando la necessità di una vigilanza costante, anche con software verificati.

Tendenza

I più visti

Caricamento in corso...