Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivé rozšírenia prehliadača ShadyPanda

Škodlivé rozšírenia prehliadača ShadyPanda

Do roku Mezo v roku Malvér
Preložiť do:

V pozoruhodnom príklade dlhodobého kybernetického zneužívania viedla útočná skupina známa ako ShadyPanda sedemročnú kampaň zameranú na rozšírenia prehliadača, v rámci ktorej bolo nainštalovaných viac ako 4,3 milióna rozšírení. Táto operácia demonštruje, ako sa dá aj legitímny softvér zneužiť, ak chýba riadny dohľad.

Od legitímnych nástrojov k škodlivým aktualizáciám

Päť z napadnutých rozšírení pôvodne fungovalo ako legitímne aplikácie, ale v polovici roka 2024 bolo upravených o škodlivé funkcie. Tieto aktualizácie si pred odstránením rozšírení nainštalovali približne 300 000 ľudí. Škodlivé aktualizácie umožňovali vzdialené spúšťanie kódu každú hodinu, čo útočníkom umožnilo stiahnuť a spustiť ľubovoľný JavaScript s plným prístupom prehliadača. Po aktivácii tieto rozšírenia:

  • Monitorujte každú navštívenú webovú stránku.
  • Odfiltrujte zašifrovanú históriu prehliadania.
  • Zhromaždite kompletné odtlačky prstov prehliadača.

Pozoruhodným príkladom je Clean Master, ktorý predtým overil Google. Jeho oficiálny status pomohol ShadyPanda rozšíriť svoju používateľskú základňu a umožniť škodlivé aktualizácie bez toho, aby vzbudzovali podozrenie.

Hromadný dohľad prostredníctvom populárnych doplnkov

Ďalšia sada piatich rozšírení vrátane WeTab monitorovala používateľov vo veľkom meradle. Tieto doplnky sledovali URL adresy, vyhľadávacie dopyty, kliknutia myšou a ďalšie interakcie prehliadača a prenášali údaje na servery so sídlom v Číne. Spolu boli tieto rozšírenia nainštalované približne štyri milióny krát, pričom samotný WeTab predstavoval tri milióny inštalácií.

Prvé náznaky škodlivého správania sa objavili v roku 2023 a týkali sa vývojárov nuggetsno15 a rocket Zhang, ktorí publikovali 20 rozšírení pre Chrome a 125 rozšírení pre Edge maskovaných ako tapeta alebo nástroje produktivity.

Zneužívanie podvodov s partnerskými programami a únos prehliadača

Rozšírenia ShadyPanda sa spočiatku zaoberali podvodmi s partnerskými programami, vkladali sledovacie kódy do stránok ako eBay, Amazon a Booking.com s cieľom generovať nezákonné provízie. Začiatkom roka 2024 sa táto taktika eskalovala do aktívnej kontroly prehliadača, vrátane:

  • Zber vyhľadávacích dopytov.
  • Presmerovanie vyhľadávaní cez trovi.com, známeho útočníka.
  • Odstraňovanie súborov cookie z cieľových domén.

Do polovice roka 2024 boli tri rozšírenia s dlhodobým legitímnym používaním upravené tak, aby každú hodinu načítavali užitočné dáta JavaScriptu z adresára „api.extensionplay(bodka)com“, spúšťali ich a monitorovali každú návštevu stránky a prenášali šifrované údaje do „api.cleanmasters(bodka)store“. Tieto užitočné dáta boli silne zahalené a v prípade zistenia nástrojov pre vývojárov prešli do neškodného režimu, čo pomáhalo malvéru vyhnúť sa detekcii.

Pokročilé útočné schopnosti

Okrem sledovania by tieto rozšírenia mohli vykonávať útoky typu „protivník v strede“ (AitM), čo by uľahčilo:

  • Krádež poverení.
  • Únos relácie.
  • Vkladanie ľubovoľného kódu na ľubovoľnú stránku.

Sledovanie sa zintenzívnilo s doplnkami pre Microsoft Edge, ako napríklad WeTab, ktoré zaznamenávali rozsiahle interakcie používateľov vrátane správania pri rolovaní, času stráveného na stránkach a všetkých odtlačkov prstov prehliadača. Tieto rozšírenia už nie sú k dispozícii na stiahnutie z príslušných trhovísk.

Odporúčané akcie pre používateľov

Táto kampaň prešla štyrmi odlišnými fázami, od legitímnych nástrojov až po sofistikovaný spyware. Hoci nie je jasné, či boli počty stiahnutí umelo nafúknuté, aby vyzerali legitímne, riziko pre používateľov zostáva vážne. Používatelia, ktorí si nainštalovali niektoré z týchto rozšírení, by mali rozšírenia okamžite odstrániť a zmeniť heslá pre všetky online účty.

Príklady ovplyvnených rozšírení:

  • Clean Master: najlepší čistič vyrovnávacej pamäte Chrome
  • Speedtest Pro – bezplatný online test rýchlosti internetu
  • BlockSite
  • Prepínač vyhľadávača v adresnom riadku
  • Nová karta SafeSwift
  • Nekonečno V+ Nová karta
  • OneTab Plus: Správa kariet a produktivita
  • WeTab 新标签页
  • Nekonečno Nová karta pre mobil
  • Nekonečno Nová karta (Pro)
  • Nekonečno Nová karta
  • Nová karta Dream Afar
  • Správca sťahovania Pro
  • Tapeta s témou Galaxy HD 4k Domovská stránka
  • Domovská stránka tapety Halo 4K HD
  • Poučenie od ShadyPanda

Úspech ShadyPanda podčiarkuje, že samotná technická sofistikovanosť nie je potrebná. Kampaň prosperovala vďaka využívaniu systémovej zraniteľnosti na trhoch s rozšíreniami prehliadačov. Rozšírenia sa kontrolujú po odoslaní, ale správanie po schválení je do značnej miery nemonitorované. Táto dlhodobá medzera v dohľade umožnila dôveryhodným nástrojom nenápadne sa vyvinúť na sledovacie platformy, čo zdôrazňuje potrebu neustálej ostražitosti, a to aj pri overenom softvéri.

Trendy

Prichádzajúca správa pozastavená – podvod

Phishing, Spam
Kyberzločinci neustále zdokonaľujú podvody založené na e-mailoch a podvod „Prichádzajúca správa pozastavená“ je ďalším príkladom toho, ako presvedčivo dokáže spam nalákať nič netušiacich príjemcov. Tieto podvodné upozornenia falošne tvrdia, že správy sú zadržiavané vo vašej schránke a snažia sa vás presmerovať na phishingovú stránku. Je dôležité si uvedomiť, že tieto e-maily nie sú prepojené s...

Najviac videné

Načítava...