Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносные расширения браузера ShadyPanda

Вредоносные расширения браузера ShadyPanda

К Mezo году в Вредоносное ПО году
Перевести на:

Ярким примером долговременной киберэксплуатации стала семилетняя кампания киберпреступников, направленная против браузерных расширений, в результате которой было установлено более 4,3 миллиона таких расширений. Эта операция демонстрирует, как даже легитимное программное обеспечение может быть использовано в качестве оружия при отсутствии должного контроля.

От легальных инструментов до вредоносных обновлений

Пять из скомпрометированных расширений изначально были легитимными приложениями, но в середине 2024 года были модифицированы вредоносным функционалом. Эти обновления привлекли около 300 000 установок, прежде чем расширения были окончательно удалены. Вредоносные обновления позволяли ежечасно удалённо выполнять код, позволяя злоумышленникам загружать и запускать произвольный JavaScript-код с полным доступом к браузеру. После активации эти расширения:

  • Контролируйте каждый посещенный веб-сайт.
  • Извлеките зашифрованную историю просмотров.
  • Соберите полные отпечатки браузера.

Яркий пример — Clean Master, ранее проверенный Google. Его официальный статус помог ShadyPanda расширить свою пользовательскую базу, позволяя устанавливать вредоносные обновления, не вызывая подозрений.

Массовая слежка с помощью популярных дополнений

Другой набор из пяти расширений, включая WeTab, осуществлял массовый мониторинг пользователей. Эти расширения отслеживали URL-адреса, поисковые запросы, щелчки мыши и другие действия в браузере, передавая данные на серверы в Китае. В общей сложности эти расширения были установлены около четырёх миллионов раз, причём только WeTab установился три миллиона раз.

Первые признаки вредоносного поведения появились в 2023 году, когда разработчики nuggetsno15 и rocket Zhang опубликовали 20 расширений для Chrome и 125 расширений для Edge, замаскированных под обои или инструменты повышения производительности.

Использование партнерского мошенничества и взлома браузера

Изначально расширения ShadyPanda использовались для мошенничества с партнёрскими программами, внедряя коды отслеживания на такие сайты, как eBay, Amazon и Booking.com, для получения незаконных комиссий. К началу 2024 года эта тактика переросла в активный контроль браузера, включая:

  • Сбор поисковых запросов.
  • Перенаправление поисковых запросов через trovi.com, известный злоумышленник.
  • Извлечение файлов cookie из целевых доменов.

К середине 2024 года три расширения, которые долгое время использовались легально, были модифицированы для ежечасного извлечения полезных данных JavaScript с сайта «api.extensionplay(dot)com», запуская их для отслеживания каждого посещения сайта и передавая зашифрованные данные в магазин «api.cleanmasters(dot)store». Полезные данные были тщательно замаскированы и переходили в безопасный режим при обнаружении инструментов разработчика, что позволяло вредоносному ПО избегать обнаружения.

Расширенные возможности атаки

Помимо отслеживания, эти расширения могут организовывать атаки типа «злоумышленник посередине» (AitM), способствуя:

  • Кража учетных данных.
  • Перехват сеанса.
  • Внедрение произвольного кода на любой сайт.

Наблюдение усилилось с появлением дополнений для Microsoft Edge, таких как WeTab, которые фиксировали многочисленные действия пользователя, включая прокрутку, время, проведенное на страницах, и все отпечатки браузера. Эти расширения больше не доступны для загрузки из соответствующих магазинов приложений.

Рекомендуемые действия для пользователей

Эта кампания прошла четыре этапа, эволюционируя от легитимных инструментов к сложному шпионскому ПО. Хотя неясно, было ли количество загрузок искусственно завышено для видимости легитимности, риск для пользователей остаётся серьёзным. Пользователям, установившим любое из этих расширений, следует немедленно удалить их и сменить пароли для всех учётных записей.

Примеры затронутых расширений:

  • Clean Master: лучший очиститель кэша Chrome
  • Speedtest Pro — бесплатный онлайн-тест скорости интернета
  • BlockSite
  • Переключатель поисковых систем в адресной строке
  • Новая вкладка SafeSwift
  • Infinity V+ Новая вкладка
  • OneTab Plus: управление вкладками и производительность
  • WeTab 新标签页
  • Infinity New Tab для мобильных устройств
  • Infinity New Tab (Pro)
  • Новая вкладка Infinity
  • Мечтать вдали Новая вкладка
  • Менеджер загрузок Pro
  • Обои Galaxy Theme HD 4k Домашняя страница
  • Домашняя страница обоев Halo 4K HD
  • Уроки от ShadyPanda

Успех ShadyPanda подчёркивает, что одной лишь технической сложности недостаточно: кампания процветала за счёт эксплуатации системной уязвимости на площадках продаж расширений для браузеров. Расширения проверяются после отправки, но поведение после одобрения практически не отслеживается. Этот долгосрочный пробел в контроле позволил надёжным инструментам незаметно превратиться в платформы наблюдения, что подчёркивает необходимость постоянной бдительности даже при использовании проверенного программного обеспечения.

В тренде

Мошенничество SafariBookings

Фишинг, Спам
Киберпреступники используют туристическую индустрию в своих целях, используя фишинговую кампанию, известную как мошенничество SafariBookings. Эти электронные письма не связаны с какими-либо легитимными компаниями, организациями или поставщиками услуг. Они выглядят как официальные сообщения от сервиса бронирования путешествий, но их единственная цель — обманным путём заставить получателей...

Мошенничество с приостановленным входящим сообщением

Фишинг, Спам
Киберпреступники продолжают изощрять обман с помощью электронных писем, и мошенничество «Входящее сообщение приостановлено» — ещё один пример того, как убедительно составленный спам может заманить ничего не подозревающих получателей. Эти мошеннические оповещения ложно утверждают, что сообщения скрываются из вашего почтового ящика, и пытаются перенаправить вас на фишинговую страницу. Важно...

Наиболее просматриваемые

Загрузка...