Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерна проширења прегледача ShadyPanda

Злонамерна проширења прегледача ShadyPanda

До Mezo. у Малваре
Преведи на:

Упечатљив пример дугорочне сајбер експлоатације, претња позната као ShadyPanda спровела је седмогодишњу кампању усмерену на екстензије прегледача, акумулирајући преко 4,3 милиона инсталација. Ова операција показује како чак и легитиман софтвер може бити оружје када нема одговарајућег надзора.

Од легитимних алата до злонамерних ажурирања

Пет угрожених екстензија је почело као легитимне апликације, али су модификоване злонамерним функцијама средином 2024. године. Ова ажурирања су привукла око 300.000 инсталација пре него што су екстензије коначно уклоњене. Злонамерне надоградње су омогућавале даљинско извршавање кода сваког сата, дозвољавајући нападачима да преузму и покрећу произвољни JavaScript са пуним приступом прегледачу. Када се активирају, ове екстензије:

  • Пратите сваку посећену веб страницу.
  • Извуците шифровану историју прегледања.
  • Прикупите комплетне отиске прстију прегледача.

Значајан пример је Clean Master, који је претходно верификовао Google. Његов званични статус је помогао ShadyPanda-и да прошири своју корисничку базу, омогућавајући злонамерна ажурирања без изазивања сумње.

Масовни надзор путем популарних додатака

Још један сет од пет екстензија, укључујући WeTab, пратио је кориснике у великим размерама. Ови додаци су пратили URL-ове, упите претраживача, кликове мишем и друге интеракције прегледача, преносећи податке на сервере у Кини. Заједно, ове екстензије су инсталиране приближно четири милиона пута, а само WeTab је имао три милиона инсталација.

Први показатељи злонамерног понашања појавили су се 2023. године, а укључивали су програмере „nuggetsno15“ и „rocket Zhang“, који су објавили 20 Chrome екстензија и 125 Edge екстензија прерушених у позадину или алате за продуктивност.

Искоришћавање превара са партнерима и отмица прегледача

Шејдипандине екстензије су се првобитно бавиле преварама са партнерима, убацујући кодове за праћење на сајтове као што су eBay, Amazon и Booking.com како би генерисале незаконите провизије. До почетка 2024. године, тактика је ескалирала до активне контроле прегледача, укључујући:

  • Прикупљање упита за претрагу.
  • Преусмеравање претрага преко trovi.com, познатог отмичара.
  • Преузимање колачића са циљаних домена.

До средине 2024. године, три екстензије са дугогодишњом легитимном употребом су модификоване да би преузимале JavaScript корисне податке на сваки сат са „api.extensionplay(dot)com“, покрећући их ради праћења сваке посете сајту и преноса шифрованих података на „api.cleanmasters(dot)store“. Корисни подаци су били јако замаскирани и улазили су у бенигни режим ако би се открили алати за програмере, помажући злонамерном софтверу да избегне откривање.

Напредне могућности напада

Поред праћења, ова проширења би могла да изврше нападе типа „противник у средини“ (AitM), олакшавајући:

  • Крађа акредитива.
  • Отмица сесије.
  • Убризгавање произвољног кода на било коју страницу.

Надзор је интензивиран додацима за Microsoft Edge, попут WeTab-а, који су бележили опсежне интеракције корисника, укључујући понашање скроловања, време проведено на страницама и све отиске прстију прегледача. Ова проширења више нису доступна за преузимање са одговарајућих тржишта.

Препоручене акције за кориснике

Ова кампања је прошла кроз четири различите фазе, еволуирајући од легитимних алата до софистицираног шпијунског софтвера. Иако није јасно да ли је број преузимања вештачки надут да би изгледао легитимно, ризик за кориснике остаје озбиљан. Корисници који су инсталирали било које од ових проширења требало би одмах да уклоне проширења и ротирају лозинке за све онлајн налоге.

Примери погођених екстензија:

  • Clean Master: најбољи чистач кеша у Chrome-у
  • Speedtest Pro - бесплатни онлајн тест брзине интернета
  • БлокСајт
  • Пребацивање претраживача у адресној траци
  • SafeSwift Нова картица
  • Инфинити В+ Нова картица
  • OneTab Plus: Управљање картицама и продуктивност
  • ВеТаб 新标签页
  • Бесконачна нова картица за мобилне уређаје
  • Инфинити Нови Таб (Про)
  • Бесконачна нова картица
  • Дрим у даљини Нови таб
  • Менаџер преузимања Про
  • Галакси тема позадине HD 4k почетна страница
  • Halo 4K позадина HD почетна страница
  • Лекције од ShadyPanda-е

Успех компаније ShadyPanda наглашава да сама техничка софистицираност није неопходна; кампања је напредовала искоришћавајући системску рањивост на тржиштима екстензија за прегледаче. Екстензије се прегледају по слању, али понашање након одобрења се углавном не надгледа. Ова дугорочна празнина у надзору омогућила је поузданим алатима да се тихо развију у платформе за надзор, истичући потребу за сталном будношћу, чак и са верификованим софтвером.

У тренду

Превара са SafariBookings-ом

Пецање, Спам
Сајбер криминалци искоришћавају туристичку индустрију фишинг кампањом познатом као превара SafariBookings. Ови имејлови нису повезани ни са једном легитимном компанијом, организацијом или добављачем услуга. Дизајнирани су да изгледају као званичне поруке сервиса за резервације путовања, али њихова једина сврха је да преваре примаоце и наведу их да открију осетљиве личне податке. Постати жртва...

Долазна порука паузирана превара

Пецање, Спам
Сајбер криминалци настављају да усавршавају обмане путем имејла, а превара „Долазна порука паузирана“ је још један пример како убедљиво креирана нежељена пошта може да примами неслутеће примаоце. Ова преварна упозорења лажно тврде да се поруке скривају из вашег пријемног сандучета и покушавају да вас гурају ка фишинг страници. Важно је препознати да ове имејлове нису повезане са cPanel-ом или...

Најгледанији

Злонамерних програма

Пецање, Спам
30,345
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...