Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare ShadyPanda skadelige nettleserutvidelser

ShadyPanda skadelige nettleserutvidelser

Med Mezo i Skadelig programvare
Oversett til:

I et slående eksempel på langvarig cyberutnyttelse har en trusselaktør kjent som ShadyPanda gjennomført en syv år lang kampanje rettet mot nettleserutvidelser, og samlet over 4,3 millioner installasjoner. Denne operasjonen demonstrerer hvordan selv legitim programvare kan bli våpen når skikkelig tilsyn mangler.

Fra legitime verktøy til skadelige oppdateringer

Fem av de kompromitterte utvidelsene startet som legitime applikasjoner, men ble endret med skadelig funksjonalitet i midten av 2024. Disse oppdateringene tiltrakk seg omtrent 300 000 installasjoner før utvidelsene til slutt ble fjernet. De skadelige oppdateringene muliggjorde timevis fjernkjøring av kode, slik at angripere kunne laste ned og kjøre vilkårlig JavaScript med full nettlesertilgang. Når de er aktive, vil disse utvidelsene:

  • Overvåk alle nettsteder som besøkes.
  • Eksfiltrer kryptert nettleserlogg.
  • Samle komplette fingeravtrykk fra nettleseren.

Et bemerkelsesverdig eksempel er Clean Master, som tidligere ble bekreftet av Google. Den offisielle statusen hjalp ShadyPanda med å utvide brukerbasen sin, og muliggjorde skadelige oppdateringer uten at det vekket mistanke.

Masseovervåking gjennom populære tilleggsprogrammer

Et annet sett med fem utvidelser, inkludert WeTab, overvåket brukere i stor skala. Disse tilleggene sporet URL-er, søkemotorsøk, museklikk og andre nettleserinteraksjoner, og overførte dataene til servere basert i Kina. Til sammen ble disse utvidelsene installert omtrent fire millioner ganger, hvor WeTab alene sto for tre millioner installasjoner.

Tidlige indikasjoner på ondsinnet oppførsel dukket opp i 2023, og involverte utviklerne «nuggetsno15» og «rocket Zhang», som publiserte 20 Chrome-utvidelser og 125 Edge-utvidelser forkledd som bakgrunnsbilder eller produktivitetsverktøy.

Utnyttelse av affiliate-svindel og nettleserkapring

ShadyPandas utvidelser drev i utgangspunktet med affiliate-svindel, ved å injisere sporingskoder på nettsteder som eBay, Amazon og Booking.com for å generere ulovlige provisjoner. Tidlig i 2024 eskalerte taktikken til aktiv nettleserkontroll, inkludert:

  • Innsamling av søkeord.
  • Omdirigerer søk via trovi.com, en kjent kaprer.
  • Eksfiltrering av informasjonskapsler fra målrettede domener.

Innen midten av 2024 ble tre utvidelser med langvarig legitim bruk modifisert for å hente JavaScript-nyttelaster hver time fra «api.extensionplay(dot)com», og kjørte dem for å overvåke hvert nettstedsbesøk og overføre krypterte data til «api.cleanmasters(dot)store». Nyttelastene var sterkt tilslørt og gikk inn i godartet modus hvis utviklerverktøy ble oppdaget, noe som hjalp skadevaren med å unngå å bli oppdaget.

Avanserte angrepsmuligheter

Utover sporing kan disse utvidelsene utføre AitM-angrep (adversary-in-the-middle), som legger til rette for:

  • Legitimasjonstyveri.
  • Øktkapring.
  • Vilkårlig kodeinjeksjon på et hvilket som helst nettsted.

Overvåkingen intensivertes med Microsoft Edge-tillegg som WeTab, som fanget opp omfattende brukerinteraksjoner, inkludert rulleatferd, tid brukt på sider og alle nettleserfingeravtrykk. Disse utvidelsene er ikke lenger tilgjengelige for nedlasting fra sine respektive markedsplasser.

Anbefalte handlinger for brukere

Denne kampanjen gikk gjennom fire forskjellige faser, og utviklet seg fra legitime verktøy til sofistikerte spionprogrammer. Selv om det er uklart om nedlastingstallene ble kunstig oppblåst for å virke legitime, er risikoen for brukerne fortsatt alvorlig. Brukere som installerte noen av disse utvidelsene, bør fjerne utvidelsene umiddelbart og rotere passord for alle onlinekontoer.

Eksempler på berørte utvidelser:

  • Clean Master: den beste Chrome Cache-renseren
  • Speedtest Pro – Gratis netthastighetstest
  • BlockSite
  • Søkemotorbytter for adressefelt
  • SafeSwift Ny fane
  • Infinity V+ Ny fane
  • OneTab Plus: Fanehåndtering og produktivitet
  • WeTab 新标签页
  • Infinity Ny fane for mobil
  • Infinity Ny fane (Pro)
  • Uendelig ny fane
  • Drøm langt borte Ny fane
  • Nedlastingsbehandling Pro
  • Galaxy-tema bakgrunnsbilde HD 4k Hjemmeside
  • Halo 4K Bakgrunn HD Hjemmeside
  • Leksjoner fra ShadyPanda

ShadyPandas suksess understreker at teknisk sofistikasjon alene ikke er nødvendig. Kampanjen blomstret ved å utnytte en systemisk sårbarhet i markedsplassene for nettleserutvidelser. Utvidelser gjennomgås ved innsending, men atferden etter godkjenning overvåkes i stor grad ikke. Dette langsiktige tilsynsgapet tillot pålitelige verktøy å stille utvikle seg til overvåkingsplattformer, noe som understreker behovet for konstant årvåkenhet, selv med verifisert programvare.

Trender

Mest sett

Laster inn...