Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Shtojcat e Shfletuesit të Dëmshëm ShadyPanda

Shtojcat e Shfletuesit të Dëmshëm ShadyPanda

Nga MezoMalware
Përkthe në:

Në një shembull të habitshëm të shfrytëzimit kibernetik afatgjatë, një aktor kërcënimi i njohur si ShadyPanda ka kryer një fushatë shtatëvjeçare që synon zgjerimet e shfletuesit, duke grumbulluar mbi 4.3 milion instalime. Ky operacion tregon se si edhe softueri legjitim mund të përdoret si armë kur mungon mbikëqyrja e duhur.

Nga mjetet legjitime te përditësimet keqdashëse

Pesë nga shtesat e kompromentuara filluan si aplikacione legjitime, por u modifikuan me funksionalitete dashakeqe në mesin e vitit 2024. Këto përditësime tërhoqën afërsisht 300,000 instalime përpara se shtesat të hiqeshin përfundimisht. Përditësimet dashakeqe mundësuan ekzekutimin e kodit në distancë çdo orë, duke u lejuar sulmuesve të shkarkonin dhe ekzekutonin JavaScript arbitrar me akses të plotë në shfletues. Pasi të jenë aktive, këto shtesa:

  • Monitoroni çdo faqe interneti të vizituar.
  • Ekfiltro historikun e shfletimit të enkriptuar.
  • Mblidhni gjurmët e plota të shfletuesit.

Një shembull i dukshëm është Clean Master, i cili është verifikuar më parë nga Google. Statusi i tij zyrtar e ndihmoi ShadyPanda-n të zgjeronte bazën e përdoruesve të saj, duke mundësuar përditësime keqdashëse pa ngritur dyshime.

Mbikëqyrje Masive përmes Shtesave të Popullarizuara

Një grup tjetër prej pesë shtesash, përfshirë WeTab, monitoruan përdoruesit në një shkallë masive. Këto shtesa gjurmuan URL-të, pyetjet e motorëve të kërkimit, klikimet e miut dhe ndërveprimet e tjera të shfletuesit, duke transmetuar të dhënat në servera me bazë në Kinë. Së bashku, këto shtesa u instaluan afërsisht katër milionë herë, ku vetëm WeTab përbënte tre milionë instalime.

Indikacionet e hershme të sjelljes keqdashëse u shfaqën në vitin 2023, duke përfshirë zhvilluesit nuggetsno15' dhe 'rocket Zhang', të cilët publikuan 20 zgjerime të Chrome dhe 125 zgjerime të Edge të maskuara si sfond ose mjete produktiviteti.

Shfrytëzimi i Mashtrimit të Filialeve dhe Vjedhja e Shfletuesve

Zgjerimet e ShadyPanda fillimisht u përfshinë në mashtrime me bashkëpunëtorët, duke injektuar kode gjurmimi në faqe të tilla si eBay, Amazon dhe Booking.com për të gjeneruar komisione të paligjshme. Deri në fillim të vitit 2024, taktikat u përshkallëzuan në kontroll aktiv të shfletuesit, duke përfshirë:

  • Mbledhja e pyetjeve të kërkimit.
  • Duke ridrejtuar kërkimet përmes trovi.com, një rrëmbyes i njohur.
  • Duke nxjerrë cookie-t nga domenet e synuara.

Deri në mesin e vitit 2024, tre shtesa me përdorim legjitim prej kohësh u modifikuan për të marrë ngarkesa JavaScript çdo orë nga 'api.extensionplay(dot)com', duke i ekzekutuar ato për të monitoruar çdo vizitë në faqe dhe për të transmetuar të dhëna të koduara në 'api.cleanmasters(dot)store'. Ngarkesat u errësuan shumë dhe hynë në modalitetin beninj nëse zbuloheshin mjete zhvilluesi, duke e ndihmuar malware-in të shmangte zbulimin.

Aftësi të Avancuara Sulmi

Përtej gjurmimit, këto zgjerime mund të organizojnë sulme kundërshtare në mes (AitM), duke lehtësuar:

  • Vjedhja e kredencialeve.
  • Rrëmbimi i sesionit.
  • Injektim arbitrar i kodit në çdo faqe interneti.

Mbikëqyrja u intensifikua me shtesat e Microsoft Edge si WeTab, të cilat kapën ndërveprimet e gjera të përdoruesve, duke përfshirë sjelljen e lëvizjes së faqeve, kohën e kaluar në faqe dhe të gjitha gjurmët e gishtërinjve të shfletuesit. Këto shtesa nuk janë më të disponueshme për shkarkim nga tregjet përkatëse.

Veprime të rekomanduara për përdoruesit

Kjo fushatë përparoi nëpër katër faza të dallueshme, duke evoluar nga mjete legjitime në programe spiune të sofistikuara. Ndërsa është e paqartë nëse numri i shkarkimeve është rritur artificialisht për t'u dukur i ligjshëm, rreziku për përdoruesit mbetet i madh. Përdoruesit që kanë instaluar ndonjë nga këto shtesa duhet t'i heqin menjëherë shtesat dhe të ndërrojnë fjalëkalimet për të gjitha llogaritë online.

Shembuj të zgjerimeve të prekura:

  • Clean Master: Pastruesi më i mirë i memorjes së përkohshme të Chrome
  • Speedtest Pro - Test falas i shpejtësisë së internetit online
  • BlockSite
  • Ndërruesi i motorit të kërkimit për shiritin e adresës
  • Skeda e Re SafeSwift
  • Infinity V+ Skeda e Re
  • OneTab Plus: Menaxhimi i Tab-eve dhe Produktiviteti
  • WeTab 新标签页
  • Infinity New Tab për celular
  • Infinity New Tab (Pro)
  • Skeda e Re Infinity
  • Dream Afar New Tab
  • Menaxheri i Shkarkimeve Pro
  • Sfondi me Temë Galaxy HD 4k Faqja Kryesore
  • Faqja Kryesore e Sfondit Halo 4K HD
  • Mësime nga ShadyPanda

Suksesi i ShadyPanda-s nënvizon se vetëm sofistikimi teknik nuk është i nevojshëm, fushata lulëzoi duke shfrytëzuar një dobësi sistemike në tregjet e zgjerimeve të shfletuesve. Zgjerimet rishikohen pas dorëzimit, por sjellja pas miratimit është kryesisht e pamonitoruar. Ky boshllëk mbikëqyrës afatgjatë lejoi që mjetet e besuara të evoluonin në heshtje në platforma mbikëqyrjeje, duke theksuar nevojën për vigjilencë të vazhdueshme, madje edhe me softuer të verifikuar.

Në trend

Mashtrim i Ndërprerë i Mesazhit Hyrës

Fishing, Spam
Kriminelët kibernetikë vazhdojnë të përsosin mashtrimin e bazuar në email, dhe mashtrimi 'Mesazhet hyrëse të ndaluara' është një tjetër shembull se si spam-i i hartuar bindshëm mund të joshë marrësit e pasigurt. Këto alarme mashtruese pretendojnë në mënyrë të rreme se mesazhet po fshihen nga kutia juaj hyrëse dhe përpiqen t'ju shtyjnë drejt një faqeje phishing. Është thelbësore të pranohet që...

Më e shikuara

Po ngarkohet...