Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Extensii de browser rău intenționate ShadyPanda

Extensii de browser rău intenționate ShadyPanda

Până în Mezo în Programe malware
Tradu in:

Într-un exemplu frapant de exploatare cibernetică pe termen lung, un actor de amenințare cunoscut sub numele de ShadyPanda a desfășurat o campanie de șapte ani care a vizat extensiile de browser, acumulând peste 4,3 milioane de instalări. Această operațiune demonstrează cum chiar și software-ul legitim poate fi folosit ca armă atunci când lipsește o supraveghere adecvată.

De la instrumente legitime la actualizări rău intenționate

Cinci dintre extensiile compromise au fost inițial aplicații legitime, dar au fost modificate cu funcționalități rău intenționate la mijlocul anului 2024. Aceste actualizări au atras aproximativ 300.000 de instalări înainte ca extensiile să fie în cele din urmă eliminate. Actualizările rău intenționate au permis executarea de cod la distanță la fiecare oră, permițând atacatorilor să descarce și să execute JavaScript arbitrar cu acces complet la browser. Odată active, aceste extensii:

  • Monitorizați fiecare site web vizitat.
  • Exfiltrați istoricul de navigare criptat.
  • Colectați amprente complete ale browserului.

Un exemplu notabil este Clean Master, care a fost verificat anterior de Google. Statutul său oficial a ajutat ShadyPanda să-și extindă baza de utilizatori, permițând actualizări rău intenționate fără a ridica suspiciuni.

Supraveghere în masă prin intermediul unor suplimente populare

Un alt set de cinci extensii, inclusiv WeTab, a monitorizat utilizatorii la scară largă. Aceste suplimente au urmărit adresele URL, interogările motoarelor de căutare, clicurile mouse-ului și alte interacțiuni ale browserului, transmițând datele către servere din China. Împreună, aceste extensii au fost instalate de aproximativ patru milioane de ori, WeTab înregistrând doar trei milioane de instalări.

Primele indicii ale unui comportament rău intenționat au apărut în 2023, implicându-i pe dezvoltatorii „nuggetsno15” și „rocket Zhang”, care au publicat 20 de extensii Chrome și 125 de extensii Edge deghizate în imagini de fundal sau instrumente de productivitate.

Exploatarea fraudei afiliate și a deturnării browserului

Extensiile ShadyPanda s-au implicat inițial în frauda afiliată, injectând coduri de urmărire în site-uri precum eBay, Amazon și Booking.com pentru a genera comisioane ilicite. Până la începutul anului 2024, tacticile au escaladat la controlul activ al browserului, inclusiv:

  • Recoltarea interogărilor de căutare.
  • Redirecționarea căutărilor prin intermediul trovi.com, un hijacker cunoscut.
  • Exfiltrarea cookie-urilor din domeniile vizate.

Până la mijlocul anului 2024, trei extensii cu utilizare legitimă de lungă durată au fost modificate pentru a prelua sarcini JavaScript orare de la „api.extensionplay(punct)com”, executându-le pentru a monitoriza fiecare vizită pe site și a transmite date criptate către „api.cleanmasters(punct)store”. Sarcinile au fost puternic ofuscate și au intrat în modul benign dacă instrumentele dezvoltatorilor erau detectate, ajutând malware-ul să evite detectarea.

Capacități avansate de atac

Dincolo de urmărire, aceste extensii ar putea iniția atacuri de tip adversar-in-the-middle (AitM), facilitând:

  • Furtul de acreditări.
  • Deturnarea sesiunii.
  • Injecție arbitrară de cod pe orice site.

Supravegherea s-a intensificat cu ajutorul extensiilor Microsoft Edge, precum WeTab, care au captat interacțiuni extinse ale utilizatorilor, inclusiv comportamentul de derulare, timpul petrecut pe pagini și toate amprentele browserului. Aceste extensii nu mai sunt disponibile pentru descărcare de pe marketplace-urile respective.

Acțiuni recomandate pentru utilizatori

Această campanie a progresat prin patru faze distincte, evoluând de la instrumente legitime la programe spion sofisticate. Deși nu este clar dacă numărul de descărcări a fost umflat artificial pentru a părea legitim, riscul pentru utilizatori rămâne grav. Utilizatorii care au instalat oricare dintre aceste extensii ar trebui să le elimine imediat și să schimbe parolele pentru toate conturile online.

Exemple de extensii afectate:

  • Clean Master: cel mai bun program de curățare a memoriei cache Chrome
  • Speedtest Pro - Test de viteză online gratuit pentru internet
  • BlockSite
  • Comutator motor de căutare în bara de adrese
  • Filă nouă SafeSwift
  • Infinity V+ Filă nouă
  • OneTab Plus: Gestionare filă și productivitate
  • WeTab 新标签页
  • Infinity New Tab pentru mobil
  • Infinity New Tab (Pro)
  • Filă nouă Infinit
  • Visează Departe Filă Nouă
  • Manager de descărcări Pro
  • Imagine de fundal cu tema Galaxy HD 4k Pagina principală
  • Pagina principală de fundal Halo 4K HD
  • Lecții de la ShadyPanda

Succesul ShadyPanda subliniază faptul că sofisticarea tehnică nu este necesară în sine, campania prosperând prin exploatarea unei vulnerabilități sistemice în piețele de extensii de browser. Extensiile sunt revizuite la trimitere, dar comportamentul post-aprobare este în mare parte nemonitorizat. Această lacună de supraveghere pe termen lung a permis instrumentelor de încredere să evolueze discret în platforme de supraveghere, subliniind necesitatea unei vigilențe constante, chiar și cu software verificat.

Trending

Cele mai văzute

Se încarcă...