„ShadyPanda“ kenkėjiški naršyklės plėtiniai
Ryškus ilgalaikio kibernetinio išnaudojimo pavyzdys – septynerius metus trukusi kampanija, nukreipta prieš naršyklės plėtinius, kurios metu buvo įdieta daugiau nei 4,3 mln. programų. Ši operacija parodo, kaip net teisėta programinė įranga gali būti panaudota kaip ginklas, jei nėra tinkamos priežiūros.
Turinys
Nuo teisėtų įrankių iki kenkėjiškų atnaujinimų
Penki iš pažeistų plėtinių iš pradžių buvo teisėtos programos, tačiau 2024 m. viduryje buvo modifikuoti su kenkėjiškomis funkcijomis. Šie atnaujinimai pritraukė maždaug 300 000 įdiegimų, kol galiausiai plėtiniai buvo pašalinti. Kenkėjiški atnaujinimai leido nuotoliniu būdu vykdyti kodą kas valandą, leisdami užpuolikams atsisiųsti ir vykdyti bet kokį „JavaScript“ kodą su visa naršyklės prieiga. Kai šie plėtiniai buvo aktyvūs:
- Stebėkite kiekvieną aplankytą svetainę.
- Išfiltruoti užšifruotą naršymo istoriją.
- Surinkite pilnus naršyklės pirštų atspaudus.
Žymus pavyzdys yra „Clean Master“, kurį anksčiau patvirtino „Google“. Oficialus jos statusas padėjo „ShadyPanda“ išplėsti savo vartotojų bazę, leidžiant kenkėjiškus atnaujinimus nesukeliant įtarimų.
Masinis stebėjimas naudojant populiarius priedus
Kitas penkių plėtinių rinkinys, įskaitant „WeTab“, masiškai stebėjo vartotojus. Šie priedai sekė URL adresus, paieškos sistemų užklausas, pelės paspaudimus ir kitą naršyklės sąveiką, perduodami duomenis į Kinijoje esančius serverius. Iš viso šie plėtiniai buvo įdiegti maždaug keturis milijonus kartų, o vien „WeTab“ – trys milijonai.
Pirmieji kenkėjiško elgesio požymiai pasirodė 2023 m., susiję su kūrėjais „nuggetsno15“ ir „rocket Zhang“, kurie paskelbė 20 „Chrome“ plėtinių ir 125 „Edge“ plėtinius, užmaskuotus kaip ekrano fonai arba produktyvumo įrankiai.
Partnerių sukčiavimo ir naršyklės užgrobimo išnaudojimas
„ShadyPanda“ plėtiniai iš pradžių buvo skirti sukčiavimui partnerių programose, įterpdami sekimo kodus į tokias svetaines kaip „eBay“, „Amazon“ ir „Booking.com“, kad generuotų neteisėtus komisinius. Iki 2024 m. pradžios taktika peraugo į aktyvų naršyklės valdymą, įskaitant:
- Paieškos užklausų rinkimas.
- Paieškų nukreipimas per trovi.com, žinomą užgrobėją.
- Slapukų išgavimas iš tikslinių domenų.
Iki 2024 m. vidurio trys ilgai teisėtai naudojami plėtiniai buvo modifikuoti taip, kad kas valandą iš „api.extensionplay(dot)com“ rinktų „JavaScript“ paketus, stebėdami kiekvieną apsilankymą svetainėje ir perduodami užšifruotus duomenis į „api.cleanmasters(dot)store“. Panaudotieji duomenys buvo smarkiai užmaskuoti ir, aptikus kūrėjo įrankius, persijungė į gerybinį režimą, taip padėdami kenkėjiškai programai išvengti aptikimo.
Išplėstinės atakos galimybės
Be sekimo, šie plėtiniai galėtų organizuoti priešininko-vidurio (AitM) atakas, palengvindami:
- Įgaliojimų vagystė.
- Sesijos užgrobimas.
- Savavališkas kodo įterpimas bet kurioje svetainėje.
Stebėjimas buvo sustiprintas įdiegus „Microsoft Edge“ priedus, tokius kaip „WeTab“, kurie fiksavo išsamius naudotojų veiksmus, įskaitant slinkimo elgseną, puslapiuose praleistą laiką ir visus naršyklės pirštų atspaudus. Šių plėtinių nebėra galima atsisiųsti iš atitinkamų prekyviečių.
Rekomenduojami veiksmai vartotojams
Ši kampanija vyko keturiais skirtingais etapais – nuo teisėtų įrankių iki sudėtingų šnipinėjimo programų. Nors neaišku, ar atsisiuntimų skaičius buvo dirbtinai padidintas, kad atrodytų teisėtas, rizika vartotojams išlieka didelė. Vartotojai, kurie įdiegė bet kurį iš šių plėtinių, turėtų nedelsdami pašalinti plėtinius ir pakeisti visų internetinių paskyrų slaptažodžius.
Paveiktų plėtinių pavyzdžiai:
- „Clean Master“: geriausias „Chrome“ talpyklos valiklis
- „Speedtest Pro“ nemokamas internetinis interneto greičio testas
- Blokinė svetainė
- Adreso juostos paieškos sistemos perjungiklis
- „SafeSwift“ naujas skirtukas
- Begalybė V+ Naujas skirtukas
- „OneTab Plus“: skirtukų valdymas ir produktyvumas
- WeTab 新标签页
- „Infinity“ naujas skirtukas mobiliesiems
- Begalybės naujas skirtukas (Pro)
- Begalybė Naujas skirtukas
- Toli sapnas Naujas skirtukas
„ShadyPanda“ sėkmė pabrėžia, kad vien techninis išprusimas nėra būtinas – kampanija klestėjo išnaudodama sisteminę naršyklių plėtinių prekyviečių pažeidžiamumą. Pateikti plėtiniai yra peržiūrimi, tačiau po patvirtinimo jų elgsena iš esmės nestebima. Ši ilgalaikė priežiūros spraga leido patikimiems įrankiams tyliai išsivystyti į stebėjimo platformas, pabrėžiant nuolatinio budrumo poreikį, net ir naudojant patikrintą programinę įrangą.
