Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware ShadyPanda kwaadaardige browserextensies

ShadyPanda kwaadaardige browserextensies

Tegen Mezo in Malware
Vertalen naar:

In een treffend voorbeeld van langdurige cyberexploitatie heeft een cybercrimineel genaamd ShadyPanda een zeven jaar durende campagne gevoerd die gericht was op browserextensies en die meer dan 4,3 miljoen installaties opleverde. Deze operatie laat zien hoe zelfs legitieme software als wapen kan worden gebruikt als er geen goed toezicht is.

Van legitieme tools tot kwaadaardige updates

Vijf van de gecompromitteerde extensies begonnen als legitieme applicaties, maar werden medio 2024 aangepast met schadelijke functionaliteit. Deze updates trokken ongeveer 300.000 installaties voordat de extensies uiteindelijk werden verwijderd. De schadelijke updates maakten het mogelijk om elk uur code op afstand uit te voeren, waardoor aanvallers willekeurige JavaScript-code konden downloaden en uitvoeren met volledige browsertoegang. Eenmaal actief, zijn deze extensies:

  • Houd toezicht op elke bezochte website.
  • Exfiltreer de gecodeerde browsegeschiedenis.
  • Verzamel volledige browservingerafdrukken.

Een opvallend voorbeeld is Clean Master, dat eerder al door Google was geverifieerd. Dankzij de officiële status kon ShadyPanda zijn gebruikersbestand uitbreiden en schadelijke updates uitvoeren zonder argwaan te wekken.

Massabewaking via populaire add-ons

Een andere set van vijf extensies, waaronder WeTab, monitorde gebruikers op grote schaal. Deze add-ons registreerden URL's, zoekopdrachten in zoekmachines, muisklikken en andere browserinteracties en stuurden de gegevens door naar servers in China. Gezamenlijk werden deze extensies ongeveer vier miljoen keer geïnstalleerd, waarbij WeTab alleen al goed was voor drie miljoen installaties.

De eerste aanwijzingen voor kwaadaardig gedrag verschenen in 2023. Het ging om ontwikkelaars als nuggetsno15 en 'rocket Zhang', die 20 Chrome-extensies en 125 Edge-extensies publiceerden die vermomd waren als achtergrond of productiviteitstools.

Exploitatie van affiliatefraude en browserkaping

De extensies van ShadyPanda hielden zich aanvankelijk bezig met affiliatefraude door trackingcodes te injecteren in sites zoals eBay, Amazon en Booking.com om illegale commissies te genereren. Begin 2024 escaleerden de tactieken tot actieve browsercontrole, waaronder:

  • Zoekopdrachten verzamelen.
  • Zoekopdrachten omleiden via trovi.com, een bekende browserkaper.
  • Exfiltrerende cookies van gerichte domeinen.

Medio 2024 werden drie extensies die al lang legitiem worden gebruikt, aangepast om elk uur JavaScript-payloads op te halen van 'api.extensionplay(dot)com', deze uit te voeren om elk sitebezoek te monitoren en versleutelde gegevens te verzenden naar 'api.cleanmasters(dot)store'. De payloads werden zwaar verduisterd en gingen in een onschadelijke modus zodra de ontwikkelaarstools werden gedetecteerd, waardoor de malware detectie kon omzeilen.

Geavanceerde aanvalsmogelijkheden

Naast tracking kunnen deze extensies ook 'adversary-in-the-middle'-aanvallen (AitM) uitvoeren, waardoor het volgende mogelijk wordt:

  • Diefstal van inloggegevens.
  • Sessie-kaping.
  • Willekeurige code-injectie op elke site.

De surveillance werd geïntensiveerd met Microsoft Edge-add-ons zoals WeTab, die uitgebreide gebruikersinteracties vastlegden, waaronder scrollgedrag, tijd besteed aan pagina's en alle browser-vingerafdrukken. Deze extensies kunnen niet langer worden gedownload via hun respectievelijke marktplaatsen.

Aanbevolen acties voor gebruikers

Deze campagne doorliep vier verschillende fasen, van legitieme tools tot geavanceerde spyware. Hoewel het onduidelijk is of de downloadaantallen kunstmatig zijn opgeblazen om legitiem te lijken, blijft het risico voor gebruikers groot. Gebruikers die een van deze extensies hebben geïnstalleerd, moeten deze onmiddellijk verwijderen en de wachtwoorden voor alle online accounts wijzigen.

Voorbeelden van getroffen extensies:

  • Clean Master: de beste Chrome Cache Cleaner
  • Speedtest Pro - Gratis online internetsnelheidstest
  • BlockSite
  • Adresbalk-zoekmachineswitcher
  • SafeSwift Nieuw tabblad
  • Infinity V+ Nieuw tabblad
  • OneTab Plus: tabbladbeheer en productiviteit
  • WeTab 新标签页
  • Infinity New Tab voor mobiel
  • Infinity Nieuw Tabblad (Pro)
  • Infinity Nieuw Tabblad
  • Droom Veraf Nieuw Tabblad
  • Download Manager Pro
  • Galaxy Thema Wallpaper HD 4k Homepage
  • Halo 4K Wallpaper HD Startpagina
  • Lessen van ShadyPanda

Het succes van ShadyPanda onderstreept dat technische verfijning op zichzelf niet nodig is. De campagne floreerde door misbruik te maken van een systematische kwetsbaarheid in marktplaatsen voor browserextensies. Extensies worden beoordeeld bij indiening, maar het gedrag na goedkeuring wordt grotendeels niet gemonitord. Deze langdurige toezichtskloof heeft ervoor gezorgd dat vertrouwde tools zich ongemerkt hebben ontwikkeld tot surveillanceplatforms, wat de noodzaak van constante waakzaamheid onderstreept, zelfs met geverifieerde software.

Trending

Meest bekeken

Bezig met laden...