ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายของ ShadyPanda

ตัวอย่างอันโดดเด่นของการแสวงหาประโยชน์ทางไซเบอร์ในระยะยาว คือ ShadyPanda ผู้ก่อภัยคุกคาม ได้ดำเนินการรณรงค์เป็นเวลาเจ็ดปีโดยมุ่งเป้าไปที่ส่วนขยายเบราว์เซอร์ ซึ่งมียอดการติดตั้งมากกว่า 4.3 ล้านครั้ง ปฏิบัติการนี้แสดงให้เห็นว่าแม้แต่ซอฟต์แวร์ที่ถูกกฎหมายก็ยังสามารถถูกนำไปใช้เป็นอาวุธได้ หากปราศจากการกำกับดูแลที่เหมาะสม

จากเครื่องมือที่ถูกกฎหมายไปจนถึงการอัปเดตที่เป็นอันตราย

ส่วนขยายที่ถูกบุกรุกห้ารายการนั้นเริ่มต้นจากแอปพลิเคชันที่ถูกต้องตามกฎหมาย แต่ถูกดัดแปลงด้วยฟังก์ชันที่เป็นอันตรายในช่วงกลางปี 2024 การอัปเดตเหล่านี้ดึงดูดการติดตั้งได้ประมาณ 300,000 ครั้งก่อนที่ส่วนขยายเหล่านี้จะถูกลบออกในที่สุด การอัปเดตที่เป็นอันตรายเหล่านี้ทำให้เกิดการรันโค้ดจากระยะไกลทุกชั่วโมง ทำให้ผู้โจมตีสามารถดาวน์โหลดและรัน JavaScript ได้ตามต้องการโดยเข้าถึงเบราว์เซอร์ได้อย่างเต็มที่ เมื่อเปิดใช้งานแล้ว ส่วนขยายเหล่านี้:

• ตรวจสอบทุกเว็บไซต์ที่เข้าชม
• ขโมยประวัติการท่องเว็บที่เข้ารหัส
• รวบรวมลายนิ้วมือเบราว์เซอร์ให้ครบถ้วน

ตัวอย่างที่น่าสนใจคือ Clean Master ซึ่งได้รับการยืนยันจาก Google ก่อนหน้านี้ สถานะอย่างเป็นทางการของ Clean Master ช่วยให้ ShadyPanda ขยายฐานผู้ใช้ ทำให้สามารถอัปเดตที่เป็นอันตรายได้โดยไม่ทำให้เกิดความสงสัย

การเฝ้าระวังมวลชนผ่านโปรแกรมเสริมยอดนิยม

ส่วนขยายอีกห้าชุด รวมถึง WeTab ได้ติดตามผู้ใช้ในวงกว้าง ส่วนขยายเหล่านี้ติดตาม URL, การค้นหาในเครื่องมือค้นหา, การคลิกเมาส์ และการโต้ตอบอื่นๆ ของเบราว์เซอร์ และส่งข้อมูลไปยังเซิร์ฟเวอร์ในประเทศจีน ส่วนขยายเหล่านี้ได้รับการติดตั้งรวมกันประมาณสี่ล้านครั้ง โดย WeTab เพียงอย่างเดียวมีการติดตั้งถึงสามล้านครั้ง

สัญญาณเบื้องต้นของพฤติกรรมที่เป็นอันตรายปรากฏในปี 2023 ซึ่งเกี่ยวข้องกับนักพัฒนา nuggetsno15 และ 'rocket Zhang' ที่เผยแพร่ส่วนขยายของ Chrome จำนวน 20 รายการและส่วนขยายของ Edge จำนวน 125 รายการซึ่งปลอมตัวมาเป็นวอลเปเปอร์หรือเครื่องมือเพิ่มประสิทธิภาพการทำงาน

การใช้ประโยชน์จากการฉ้อโกงพันธมิตรและการแฮ็กเบราว์เซอร์

ส่วนขยายของ ShadyPanda เริ่มแรกมีการฉ้อโกงแบบ Affiliate โดยแทรกโค้ดติดตามลงในเว็บไซต์ต่างๆ เช่น eBay, Amazon และ Booking.com เพื่อสร้างค่าคอมมิชชั่นที่ผิดกฎหมาย ในช่วงต้นปี 2024 กลยุทธ์ดังกล่าวได้ขยายวงกว้างไปสู่การควบคุมเบราว์เซอร์ที่ใช้งานอยู่ ซึ่งรวมถึง:

• การเก็บเกี่ยวแบบสอบถามการค้นหา
• การเปลี่ยนเส้นทางการค้นหาผ่าน trovi.com ซึ่งเป็นแฮกเกอร์ที่รู้จักกันดี
• การดึงคุกกี้จากโดเมนเป้าหมาย

ภายในกลางปี 2024 ส่วนขยายสามส่วนที่มีการใช้งานอย่างถูกต้องมายาวนานได้รับการปรับเปลี่ยนเพื่อดึงข้อมูล JavaScript รายชั่วโมงจาก 'api.extensionplay(dot)com' โดยดำเนินการตรวจสอบการเข้าชมเว็บไซต์ทุกครั้งและส่งข้อมูลที่เข้ารหัสไปยัง 'api.cleanmasters(dot)store' ข้อมูลเหล่านี้ถูกบดบังอย่างหนักและเข้าสู่โหมดไม่เป็นอันตรายหากตรวจพบเครื่องมือสำหรับนักพัฒนา ซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับได้

ความสามารถในการโจมตีขั้นสูง

นอกเหนือจากการติดตาม ส่วนขยายเหล่านี้อาจสร้างการโจมตีแบบ Adversary-in-the-middle (AitM) ขึ้นได้ ซึ่งจะช่วยอำนวยความสะดวกในการ:

• การโจรกรรมข้อมูลประจำตัว
• การแฮ็กเซสชัน
• การแทรกโค้ดตามอำเภอใจบนไซต์ใดๆ

การเฝ้าระวังยิ่งเข้มข้นขึ้นด้วยส่วนเสริมของ Microsoft Edge อย่าง WeTab ซึ่งบันทึกการโต้ตอบของผู้ใช้อย่างละเอียด ซึ่งรวมถึงพฤติกรรมการเลื่อนหน้าจอ เวลาที่ใช้บนหน้าเว็บ และลายนิ้วมือเบราว์เซอร์ทั้งหมด ส่วนขยายเหล่านี้ไม่สามารถดาวน์โหลดได้จากตลาดที่เกี่ยวข้องอีกต่อไป

การดำเนินการที่แนะนำสำหรับผู้ใช้

แคมเปญนี้ดำเนินไปในสี่ขั้นตอนที่แตกต่างกัน โดยเริ่มจากเครื่องมือที่ถูกกฎหมายไปจนถึงสปายแวร์ที่ซับซ้อน แม้ว่าจะยังไม่ชัดเจนว่าจำนวนการดาวน์โหลดถูกเพิ่มให้สูงเกินจริงเพื่อให้ดูถูกกฎหมายหรือไม่ แต่ความเสี่ยงต่อผู้ใช้ยังคงรุนแรง ผู้ใช้ที่ติดตั้งส่วนขยายเหล่านี้ควรลบส่วนขยายเหล่านี้ออกทันทีและเปลี่ยนรหัสผ่านสำหรับบัญชีออนไลน์ทั้งหมด

ตัวอย่างของส่วนขยายที่ได้รับผลกระทบ:

• Clean Master: โปรแกรมทำความสะอาดแคช Chrome ที่ดีที่สุด
• Speedtest Pro - ทดสอบความเร็วอินเทอร์เน็ตออนไลน์ฟรี
• บล็อคไซต์
• ตัวสลับเครื่องมือค้นหาแถบที่อยู่
• แท็บใหม่ของ SafeSwift
• แท็บใหม่ Infinity V+
• OneTab Plus: การจัดการแท็บและเพิ่มประสิทธิภาพ
• WeTab 新标签页
• Infinity New Tab สำหรับอุปกรณ์มือถือ
• Infinity New Tab (Pro)
• แท็บใหม่อินฟินิตี้
• แท็บใหม่ของ Dream Afar

ความสำเร็จของ ShadyPanda ย้ำว่าความซับซ้อนทางเทคนิคเพียงอย่างเดียวนั้นไม่จำเป็น แคมเปญนี้เติบโตได้ด้วยการใช้ประโยชน์จากช่องโหว่ของระบบในตลาดส่วนขยายเบราว์เซอร์ ส่วนขยายจะได้รับการตรวจสอบเมื่อส่ง แต่พฤติกรรมหลังการอนุมัติส่วนใหญ่ไม่ได้รับการตรวจสอบ ช่องว่างการกำกับดูแลระยะยาวนี้ทำให้เครื่องมือที่เชื่อถือได้พัฒนาไปสู่แพลตฟอร์มการเฝ้าระวังอย่างเงียบๆ ซึ่งเน้นย้ำถึงความจำเป็นในการเฝ้าระวังอย่างต่อเนื่อง แม้จะใช้กับซอฟต์แวร์ที่ผ่านการตรวจสอบแล้วก็ตาม