Rabattoffert för flera licenser
Hotdatabas Skadlig programvara ShadyPanda skadliga webbläsartillägg

ShadyPanda skadliga webbläsartillägg

Med Mezo år Skadlig programvara
Översätt till:

I ett slående exempel på långvarig cyberexploatering har en hotaktör känd som ShadyPanda genomfört en sjuårig kampanj riktad mot webbläsartillägg och ackumulerat över 4,3 miljoner installationer. Denna operation visar hur även legitim programvara kan användas som vapen när korrekt tillsyn saknas.

Från legitima verktyg till skadliga uppdateringar

Fem av de komprometterade tilläggen började som legitima applikationer men modifierades med skadlig funktionalitet i mitten av 2024. Dessa uppdateringar lockade ungefär 300 000 installationer innan tilläggen slutligen togs bort. De skadliga uppdateringarna möjliggjorde timvis fjärrkörning av kod, vilket gjorde det möjligt för angripare att ladda ner och köra godtycklig JavaScript med fullständig webbläsaråtkomst. När de väl är aktiva gör dessa tillägg:

  • Övervaka varje webbplats som besöks.
  • Exfiltrera krypterad webbhistorik.
  • Samla in kompletta webbläsarfingeravtryck.

Ett anmärkningsvärt exempel är Clean Master, som tidigare verifierats av Google. Dess officiella status hjälpte ShadyPanda att utöka sin användarbas och möjliggjorde skadliga uppdateringar utan att väcka misstankar.

Massövervakning genom populära tillägg

En annan uppsättning av fem tillägg, inklusive WeTab, övervakade användare i stor skala. Dessa tillägg spårade webbadresser, sökmotorfrågor, musklick och andra webbläsarinteraktioner och överförde informationen till servrar baserade i Kina. Tillsammans installerades dessa tillägg ungefär fyra miljoner gånger, varav WeTab ensamt stod för tre miljoner installationer.

Tidiga tecken på skadligt beteende dök upp 2023, och involverade utvecklarna 'nuggetsno15' och 'rocket Zhang', som publicerade 20 Chrome-tillägg och 125 Edge-tillägg förklädda som bakgrundsbilder eller produktivitetsverktyg.

Utnyttjande av affiliatebedrägerier och webbläsarkapning

ShadyPandas tillägg sysslade inledningsvis med affiliatebedrägerier genom att injicera spårningskoder på webbplatser som eBay, Amazon och Booking.com för att generera olagliga provisioner. I början av 2024 eskalerade taktiken till aktiv webbläsarkontroll, inklusive:

  • Insamling av sökfrågor.
  • Omdirigerar sökningar via trovi.com, en känd kapare.
  • Exfiltrering av cookies från utvalda domäner.

I mitten av 2024 modifierades tre tillägg med långvarig legitim användning för att hämta JavaScript-nyttolaster varje timme från 'api.extensionplay(dot)com', och kördes för att övervaka varje webbplatsbesök och överföra krypterad data till 'api.cleanmasters(dot)store'. Nyttolasten var kraftigt obfuskerade och gick in i godartat läge om utvecklarverktyg upptäcktes, vilket hjälpte skadlig programvara att undvika upptäckt.

Avancerade attackfunktioner

Utöver spårning kan dessa tillägg utföra AitM-attacker (adversary-in-the-middle) och underlätta:

  • Stöld av autentiseringsuppgifter.
  • Sessionskapning.
  • Godtycklig kodinjicering på vilken webbplats som helst.

Övervakningen intensifierades med Microsoft Edge-tillägg som WeTab, som registrerade omfattande användarinteraktioner, inklusive skrollningsbeteende, tid som spenderades på sidor och alla webbläsarfingeravtryck. Dessa tillägg är inte längre tillgängliga för nedladdning från sina respektive marknadsplatser.

Rekommenderade åtgärder för användare

Denna kampanj fortskred genom fyra distinkta faser och utvecklades från legitima verktyg till sofistikerade spionprogram. Även om det är oklart om nedladdningsantalen artificiellt blåstes upp för att verka legitima, är risken för användarna fortfarande allvarlig. Användare som installerat något av dessa tillägg bör omedelbart ta bort dem och rotera lösenord för alla onlinekonton.

Exempel på berörda tillägg:

  • Clean Master: den bästa Chrome Cache Cleaner
  • Speedtest Pro – Gratis hastighetstest för internet online
  • BlockSite
  • Sökmotorväxlare för adressfält
  • SafeSwift Ny flik
  • Infinity V+ Ny flik
  • OneTab Plus: Flikhantering och produktivitet
  • WeTab 新标签页
  • Infinity Ny flik för mobil
  • Infinity Ny flik (Pro)
  • Oändlig ny flik
  • Dröm Fjärran Ny Flik
  • Nedladdningshanteraren Pro
  • Galaxy Tema Bakgrund HD 4k Hemsida
  • Halo 4K Bakgrund HD Hemsida
  • Lärdomar från ShadyPanda

ShadyPandas framgång understryker att teknisk sofistikering ensam inte är nödvändig, kampanjen blomstrade genom att utnyttja en systemisk sårbarhet på marknadsplatserna för webbläsartillägg. Tillägg granskas vid inlämning, men beteendet efter godkännande övervakas i stort sett inte. Denna långsiktiga tillsynslucka gjorde det möjligt för betrodda verktyg att i tysthet utvecklas till övervakningsplattformar, vilket belyser behovet av ständig vaksamhet, även med verifierad programvara.

Trendigt

Mest sedda

Läser in...