ShadyPanda ļaunprātīgie pārlūkprogrammas paplašinājumi

Spilgts ilgtermiņa kibernoziegumu izmantošanas piemērs ir apdraudējumu izpildītājs, kas pazīstams kā ShadyPanda, un septiņus gadus ir veicis kampaņu, kuras mērķis ir pārlūkprogrammas paplašinājumi, savācot vairāk nekā 4,3 miljonus instalāciju. Šī operācija parāda, kā pat likumīgu programmatūru var izmantot kā ieroci, ja nav pienācīgas uzraudzības.

No likumīgiem rīkiem līdz ļaunprātīgiem atjauninājumiem

Pieci no apdraudētajiem paplašinājumiem sākotnēji bija likumīgas lietojumprogrammas, taču 2024. gada vidū tika modificēti ar ļaunprātīgu funkcionalitāti. Šie atjauninājumi piesaistīja aptuveni 300 000 instalāciju, pirms paplašinājumi tika galīgi noņemti. Ļaunprātīgie atjauninājumi ļāva attālināti izpildīt kodu ik stundu, ļaujot uzbrucējiem lejupielādēt un palaist patvaļīgu JavaScript kodu ar pilnu pārlūkprogrammas piekļuvi. Kad šie paplašinājumi bija aktīvi:

• Sekojiet līdzi katrai apmeklētajai vietnei.
• Izfiltrēt šifrētu pārlūkošanas vēsturi.
• Savākt pilnīgus pārlūkprogrammas pirkstu nospiedumus.

Ievērojams piemērs ir Clean Master, ko iepriekš verificēja Google. Tā oficiālais statuss palīdzēja ShadyPanda paplašināt savu lietotāju bāzi, iespējojot ļaunprātīgus atjauninājumus, neradot aizdomas.

Masveida novērošana, izmantojot populārus papildinājumus

Vēl viens piecu paplašinājumu komplekts, tostarp WeTab, plašā mērogā uzraudzīja lietotājus. Šie paplašinājumi izsekoja vietrāžus URL, meklētājprogrammu vaicājumus, peles klikšķus un citas pārlūkprogrammas mijiedarbības, pārsūtot datus uz serveriem Ķīnā. Kopumā šie paplašinājumi tika instalēti aptuveni četrus miljonus reižu, un WeTab vien bija trīs miljoni instalāciju.

Pirmās ļaunprātīgas rīcības pazīmes parādījās 2023. gadā, iesaistot izstrādātājus “nuggetsno15” un “rocket Zhang”, kuri publicēja 20 Chrome paplašinājumus un 125 Edge paplašinājumus, kas bija maskēti kā fona attēli vai produktivitātes rīki.

Izmantojot filiāļu krāpšanu un pārlūkprogrammas nolaupīšanu

ShadyPanda paplašinājumi sākotnēji iesaistījās krāpniecībā ar partnerprogrammām, ievietojot izsekošanas kodus tādās vietnēs kā eBay, Amazon un Booking.com, lai ģenerētu nelikumīgas komisijas maksas. Līdz 2024. gada sākumam taktika pārauga aktīvā pārlūkprogrammas kontrolē, tostarp:

• Meklēšanas vaicājumu apkopošana.
• Meklējumu novirzīšana caur trovi.com, kas ir zināms nolaupītājs.
• Sīkfailu izvilkšana no mērķa domēniem.

Līdz 2024. gada vidum trīs paplašinājumi ar ilgstošu likumīgu lietošanu tika modificēti, lai tie katru stundu ielādētu JavaScript vērtumus no “api.extensionplay(dot)com”, izpildot tos, lai uzraudzītu katru vietnes apmeklējumu un nosūtītu šifrētus datus uz “api.cleanmasters(dot)store”. Vērtumi tika ievērojami maskēti un pārgāja labdabīgā režīmā, ja tika atklāti izstrādātāju rīki, palīdzot ļaunprogrammatūrai izvairīties no atklāšanas.

Uzlabotas uzbrukuma iespējas

Papildus izsekošanai šie paplašinājumi varētu veikt pretinieka vidū (AitM) uzbrukumus, atvieglojot:

• Pilnvaru zādzība.
• Sesijas nolaupīšana.
• Patvaļīga koda injekcija jebkurā vietnē.

Novērošana tika pastiprināta ar Microsoft Edge pievienojumprogrammām, piemēram, WeTab, kas uztvēra plašu lietotāju mijiedarbību, tostarp ritināšanas paradumus, lapās pavadīto laiku un visus pārlūkprogrammas pirkstu nospiedumus. Šie paplašinājumi vairs nav pieejami lejupielādei no attiecīgajiem veikaliem.

Ieteicamās darbības lietotājiem

Šī kampaņa noritēja četrās atšķirīgās fāzēs, attīstoties no likumīgiem rīkiem līdz sarežģītai spiegprogrammatūrai. Lai gan nav skaidrs, vai lejupielāžu skaits tika mākslīgi palielināts, lai tas šķistu likumīgs, risks lietotājiem joprojām ir nopietns. Lietotājiem, kuri instalēja kādu no šiem paplašinājumiem, nekavējoties jānoņem paplašinājumi un jāmaina paroles visiem tiešsaistes kontiem.

Ietekmēto paplašinājumu piemēri:

• Clean Master: labākais Chrome kešatmiņas tīrītājs
• Speedtest Pro bezmaksas tiešsaistes interneta ātruma tests
• BlockSite
• Adreses joslas meklētājprogrammu pārslēdzējs
• SafeSwift jauna cilne
• Bezgalība V+ Jauna cilne
• OneTab Plus: Cilņu pārvaldība un produktivitāte
• WeTab 新标签页
• Bezgalības jauna cilne mobilajām ierīcēm
• Bezgalības jauna cilne (Pro)
• Bezgalība Jauna cilne
• Sapņojiet tālumā jaunā cilnē
• Lejupielāžu pārvaldnieks Pro

• Galaxy tēmas tapetes HD 4k mājaslapa

• Halo 4K tapetes HD mājaslapa

• Mācības no ShadyPanda

ShadyPanda panākumi uzsver, ka tehniska izsmalcinātība vien nav nepieciešama – kampaņa uzplauka, izmantojot sistēmisku ievainojamību pārlūkprogrammu paplašinājumu tirgos. Paplašinājumi tiek pārskatīti pēc iesniegšanas, taču to darbība pēc apstiprināšanas lielākoties netiek uzraudzīta. Šī ilgtermiņa uzraudzības plaisa ļāva uzticamiem rīkiem nemanāmi attīstīties par uzraudzības platformām, uzsverot nepieciešamību pēc pastāvīgas modrības pat ar pārbaudītu programmatūru.