Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerne razširitve brskalnika ShadyPanda

Zlonamerne razširitve brskalnika ShadyPanda

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

V presenetljivem primeru dolgoročnega kibernetskega izkoriščanja je akter grožnje, znan kot ShadyPanda, ki je izvedel sedemletno kampanjo, usmerjeno proti razširitvam brskalnika, v kateri je bilo zbranih več kot 4,3 milijona namestitev. Ta operacija dokazuje, kako je mogoče celo legitimno programsko opremo uporabiti kot orožje, če ni ustreznega nadzora.

Od legitimnih orodij do zlonamernih posodobitev

Pet ogroženih razširitev se je začelo kot legitimne aplikacije, vendar so bile sredi leta 2024 spremenjene z zlonamerno funkcionalnostjo. Te posodobitve so pritegnile približno 300.000 namestitev, preden so bile razširitve sčasoma odstranjene. Zlonamerne posodobitve so omogočale oddaljeno izvajanje kode vsako uro, kar je napadalcem omogočilo prenos in zagon poljubnega JavaScripta s polnim dostopom do brskalnika. Ko so te razširitve aktivne:

  • Spremljajte vsako obiskano spletno mesto.
  • Izbriši šifrirano zgodovino brskanja.
  • Zberite celotne prstne odtise brskalnika.

Pomemben primer je Clean Master, ki ga je Google že prej potrdil. Njegov uradni status je ShadyPandi pomagal razširiti uporabniško bazo, kar je omogočilo zlonamerne posodobitve, ne da bi vzbujale sum.

Množični nadzor s priljubljenimi dodatki

Drug sklop petih razširitev, vključno z WeTab, je množično spremljal uporabnike. Ti dodatki so sledili URL-jem, poizvedbam v iskalnikih, klikom miške in drugim interakcijam brskalnika ter podatke prenašali na strežnike na Kitajskem. Skupaj so bile te razširitve nameščene približno štiri milijone krat, pri čemer je samo WeTab zabeležil tri milijone namestitev.

Prvi znaki zlonamernega vedenja so se pojavili leta 2023, med katerimi sta bila razvijalca nuggetsno15 in rocket Zhang, ki sta objavila 20 razširitev za Chrome in 125 razširitev za Edge, prikritih kot ozadje ali orodja za produktivnost.

Izkoriščanje goljufij s partnerskimi programi in ugrabitev brskalnika

Razširitve ShadyPanda so se sprva ukvarjale z goljufijami pri partnerskih programih, tako da so v spletna mesta, kot so eBay, Amazon in Booking.com, vstavljale sledilne kode za ustvarjanje nezakonitih provizij. Do začetka leta 2024 so se taktike stopnjevale do aktivnega nadzora brskalnika, vključno z:

  • Zbiranje iskalnih poizvedb.
  • Preusmerjanje iskanj prek trovi.com, znanega ugrabitelja.
  • Izločanje piškotkov iz ciljnih domen.

Do sredine leta 2024 so bile tri razširitve z dolgoletno legitimno uporabo spremenjene tako, da vsako uro pridobivajo koristne podatke JavaScript iz »api.extensionplay(dot)com«, jih izvajajo za spremljanje vsakega obiska spletnega mesta in pošiljanje šifriranih podatkov v »api.cleanmasters(dot)store«. Koristni podatki so bili močno zakriti in so prešli v neškodljiv način, če so bila zaznana orodja za razvijalce, kar je pomagalo zlonamerni programski opremi, da se izogne zaznavanju.

Napredne zmogljivosti napada

Poleg sledenja bi lahko te razširitve izvajale napade nasprotnika v sredini (AitM), kar bi olajšalo:

  • Kraja poverilnic.
  • Ugrabitev seje.
  • Vbrizgavanje poljubne kode na katero koli spletno mesto.

Nadzor se je okrepil z dodatki za Microsoft Edge, kot je WeTab, ki je zajemal obsežne interakcije uporabnikov, vključno z drsenjem, časom, preživetim na straneh, in vsemi prstnimi odtisi brskalnika. Teh razširitev ni več mogoče prenesti z ustreznih spletnih tržnic.

Priporočena dejanja za uporabnike

Ta kampanja je potekala skozi štiri različne faze, od legitimnih orodij do sofisticirane vohunske programske opreme. Čeprav ni jasno, ali je bilo število prenosov umetno napihnjeno, da bi se zdelo legitimno, tveganje za uporabnike ostaja veliko. Uporabniki, ki so namestili katero koli od teh razširitev, naj jih takoj odstranijo in zamenjajo gesla za vse spletne račune.

Primeri prizadetih razširitev:

  • Clean Master: najboljši čistilec predpomnilnika Chrome
  • Speedtest Pro - brezplačen spletni test hitrosti interneta
  • BlockSite
  • Preklopnik iskalnika v naslovni vrstici
  • SafeSwift Nov zavihek
  • Infinity V+ Nov zavihek
  • OneTab Plus: Upravljanje zavihkov in produktivnost
  • WeTab 新标签页
  • Neskončen nov zavihek za mobilne naprave
  • Neskončen nov zavihek (Pro)
  • Neskončen nov zavihek
  • Sanje daleč Nov zavihek
  • Upravitelj prenosov Pro
  • Ozadje teme galaksije HD 4k domača stran
  • Halo 4K ozadje HD Domača stran
  • Lekcije od ShadyPande

Uspeh ShadyPande poudarja, da sama tehnična dovršenost ni potrebna, saj je kampanja uspevala z izkoriščanjem sistemske ranljivosti na trgih razširitev brskalnikov. Razširitve se pregledajo ob oddaji, vendar se njihovo delovanje po odobritvi večinoma ne spremlja. Ta dolgoročna vrzel v nadzoru je omogočila, da so se zaupanja vredna orodja tiho razvila v platforme za nadzor, kar je poudarilo potrebo po stalni budnosti, tudi s preverjeno programsko opremo.

V trendu

Dohodno sporočilo zaustavljeno Prevara

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci še naprej izpopolnjujejo prevare prek e-pošte, prevara »Dohodno sporočilo zaustavljeno« pa je še en primer, kako prepričljivo oblikovana neželena pošta lahko privabi nič hudega sluteče prejemnike. Ta goljufiva opozorila lažno trdijo, da so sporočila skrita v vašem nabiralniku, in vas poskušajo usmeriti na lažno spletno stran. Pomembno je vedeti, da ta e-poštna sporočila...

Najbolj gledan

Nalaganje...