Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie ShadyPanda Złośliwe rozszerzenia przeglądarki

ShadyPanda Złośliwe rozszerzenia przeglądarki

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

W jaskrawym przykładzie długotrwałej cybereksploatacji, cyberprzestępca znany jako ShadyPanda przeprowadził siedmioletnią kampanię przeciwko rozszerzeniom przeglądarek, gromadząc ponad 4,3 miliona instalacji. Ta operacja pokazuje, jak nawet legalne oprogramowanie może stać się bronią, gdy brakuje odpowiedniego nadzoru.

Od legalnych narzędzi do złośliwych aktualizacji

Pięć z zainfekowanych rozszerzeń początkowo było legalnymi aplikacjami, ale w połowie 2024 roku zostały zmodyfikowane i wzbogacone o szkodliwą funkcjonalność. Aktualizacje te zostały zainstalowane około 300 000 razy, zanim ostatecznie zostały usunięte. Złośliwe aktualizacje umożliwiały zdalne wykonywanie kodu co godzinę, umożliwiając atakującym pobieranie i uruchamianie dowolnego kodu JavaScript z pełnym dostępem do przeglądarki. Po aktywacji, te rozszerzenia:

  • Monitoruj każdą odwiedzaną stronę internetową.
  • Wyczyść zaszyfrowaną historię przeglądania.
  • Zbierz kompletne odciski palców przeglądarki.

Godnym uwagi przykładem jest Clean Master, który został wcześniej zweryfikowany przez Google. Jego oficjalny status pomógł ShadyPandzie rozszerzyć bazę użytkowników, umożliwiając złośliwe aktualizacje bez wzbudzania podejrzeń.

Masowy nadzór za pomocą popularnych dodatków

Kolejny zestaw pięciu rozszerzeń, w tym WeTab, monitorował użytkowników na masową skalę. Dodatki te śledziły adresy URL, zapytania w wyszukiwarkach, kliknięcia myszką i inne interakcje przeglądarki, przesyłając dane na serwery w Chinach. Łącznie rozszerzenia te zainstalowano około czterech milionów razy, a sam WeTab zanotował trzy miliony instalacji.

Wczesne sygnały szkodliwego zachowania pojawiły się w 2023 r., a ich autorami byli deweloperzy „nuggetsno15” i „rocket Zhang”, którzy opublikowali 20 rozszerzeń do przeglądarki Chrome i 125 rozszerzeń do przeglądarki Edge podszywających się pod tapetę lub narzędzia do zwiększania produktywności.

Wykorzystywanie oszustw afiliacyjnych i przechwytywanie przeglądarek

Rozszerzenia ShadyPanda początkowo wykorzystywały oszustwa afiliacyjne, wstrzykując kody śledzące do witryn takich jak eBay, Amazon i Booking.com w celu generowania nielegalnych prowizji. Na początku 2024 roku taktyka ta przerodziła się w aktywną kontrolę przeglądarki, obejmującą:

  • Zbieranie zapytań wyszukiwania.
  • Przekierowywanie wyszukiwań przez trovi.com, znanego porywacza.
  • Ekstrakcja plików cookie z docelowych domen.

Do połowy 2024 r. zmodyfikowano trzy rozszerzenia, które od dawna były legalnie używane, tak aby co godzinę pobierały ładunki JavaScript z domeny „api.extensionplay(dot)com”, wykonywały je w celu monitorowania każdej wizyty na stronie i przesyłania zaszyfrowanych danych do sklepu „api.cleanmasters(dot)store”. Ładunki były mocno zaciemnione i przechodziły w tryb nieszkodliwy, jeśli wykryto narzędzia programistyczne, co pomagało złośliwemu oprogramowaniu uniknąć wykrycia.

Zaawansowane możliwości ataku

Oprócz śledzenia rozszerzenia te mogą również organizować ataki typu „adversary-in-the-middle” (AitM), ułatwiając:

  • Kradzież danych uwierzytelniających.
  • Przejęcie sesji.
  • Wstrzyknięcie dowolnego kodu na dowolną stronę.

Nadzór nasilił się wraz z dodatkami do przeglądarki Microsoft Edge, takimi jak WeTab, które rejestrowały rozległe interakcje użytkowników, w tym przewijanie, czas spędzony na stronach i wszystkie odciski palców przeglądarki. Te rozszerzenia nie są już dostępne do pobrania w odpowiednich sklepach.

Zalecane działania dla użytkowników

Kampania ta przebiegała przez cztery odrębne fazy, ewoluując od legalnych narzędzi do zaawansowanego oprogramowania szpiegującego. Chociaż nie jest jasne, czy liczba pobrań została sztucznie zawyżona, aby sprawiać wrażenie legalnej, ryzyko dla użytkowników pozostaje poważne. Użytkownicy, którzy zainstalowali którekolwiek z tych rozszerzeń, powinni je natychmiast usunąć i zmienić hasła do wszystkich kont internetowych.

Przykłady rozszerzeń, których to dotyczy:

  • Clean Master: najlepszy program do czyszczenia pamięci podręcznej Chrome
  • Speedtest Pro – darmowy test prędkości Internetu online
  • BlockSite
  • Przełącznik wyszukiwarki na pasku adresu
  • SafeSwift Nowa karta
  • Infinity V+ Nowa karta
  • OneTab Plus: zarządzanie kartami i produktywność
  • WeTab 新标签页
  • Infinity Nowa karta dla urządzeń mobilnych
  • Infinity Nowa Karta (Pro)
  • Nowa karta Infinity
  • Dream Afar Nowa karta
  • Menedżer pobierania Pro
  • Tapeta z motywem galaktyki HD 4k Strona główna
  • Strona główna tapety Halo 4K HD
  • Lekcje od ShadyPanda

Sukces ShadyPanda dowodzi, że samo zaawansowanie techniczne nie jest konieczne. Kampania odniosła sukces dzięki wykorzystaniu systemowej luki w zabezpieczeniach platform z rozszerzeniami do przeglądarek. Rozszerzenia są weryfikowane po przesłaniu, ale zachowanie po zatwierdzeniu pozostaje w dużej mierze niemonitorowane. Ta długotrwała luka w nadzorze pozwoliła zaufanym narzędziom dyskretnie przekształcić się w platformy inwigilacyjne, co uwydatnia potrzebę stałej czujności, nawet w przypadku zweryfikowanego oprogramowania.

Popularne

Oszustwo polegające na wstrzymaniu wiadomości...

Phishing, Spam
Cyberprzestępcy nieustannie udoskonalają oszustwa oparte na wiadomościach e-mail, a oszustwo „Wstrzymana wiadomość przychodząca” to kolejny przykład tego, jak przekonująco spreparowany spam może zwabić niczego niepodejrzewających odbiorców. Te fałszywe alerty fałszywie informują o wstrzymaniu wiadomości w skrzynce odbiorczej i próbują skierować Cię na stronę phishingową. Należy pamiętać, że te...

Najczęściej oglądane

Ładowanie...