Multi-License Discount Quote
Banta sa Database Malware Mga Extension ng Nakakahamak na Browser ng ShadyPanda

Mga Extension ng Nakakahamak na Browser ng ShadyPanda

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Sa isang kapansin-pansing halimbawa ng pangmatagalang cyber exploitation, isang banta na aktor na kilala bilang ShadyPanda ay nagsagawa ng pitong taong kampanya na nagta-target ng mga extension ng browser, na nag-iipon ng mahigit 4.3 milyong pag-install. Ang operasyong ito ay nagpapakita kung paano kahit na ang lehitimong software ay maaaring maging armas kapag ang wastong pangangasiwa ay wala.

Mula sa Mga Lehitimong Tool hanggang sa Mga Nakakahamak na Update

Lima sa mga nakompromisong extension ay nagsimula bilang mga lehitimong aplikasyon ngunit binago nang may nakakahamak na pagpapagana noong kalagitnaan ng 2024. Ang mga update na ito ay nakakuha ng humigit-kumulang 300,000 pag-install bago tuluyang maalis ang mga extension. Pinagana ng mga nakakahamak na update ang oras-oras na remote code execution, na nagpapahintulot sa mga umaatake na mag-download at magpatakbo ng arbitrary na JavaScript na may ganap na access sa browser. Kapag aktibo na, ang mga extension na ito:

  • Subaybayan ang bawat website na binisita.
  • I-exfiltrate ang naka-encrypt na kasaysayan ng pagba-browse.
  • Kolektahin ang kumpletong mga fingerprint ng browser.

Ang isang kapansin-pansing halimbawa ay ang Clean Master, na dati nang na-verify ng Google. Ang opisyal na katayuan nito ay nakatulong sa ShadyPanda na palawakin ang base ng gumagamit nito, na nagbibigay-daan sa mga nakakahamak na update nang hindi nagtataas ng hinala.

Mass Surveillance sa pamamagitan ng Mga Sikat na Add-On

Ang isa pang hanay ng limang extension, kabilang ang WeTab, ay sinusubaybayan ang mga user sa napakalaking sukat. Ang mga add-on na ito ay sinusubaybayan ng mga URL, mga query sa search engine, mga pag-click ng mouse, at iba pang mga pakikipag-ugnayan sa browser, na nagpapadala ng data sa mga server na nakabase sa China. Sama-sama, ang mga extension na ito ay na-install ng humigit-kumulang apat na milyong beses, kung saan ang WeTab lamang ay nagkakaloob ng tatlong milyong pag-install.

Ang mga maagang indikasyon ng malisyosong gawi ay lumabas noong 2023, na kinasasangkutan ng mga developer' nuggetsno15' at 'rocket Zhang,' na nag-publish ng 20 Chrome extension at 125 Edge extension na itinago bilang wallpaper o productivity tool.

Pinagsasamantalahan ang Panloloko ng Affiliate at Pag-hijack ng Browser

Ang mga extension ng ShadyPanda ay unang nasangkot sa panloloko ng kaakibat, na nag-inject ng mga tracking code sa mga site tulad ng eBay, Amazon, at Booking.com upang makabuo ng mga ipinagbabawal na komisyon. Sa unang bahagi ng 2024, ang mga taktika ay umabot sa aktibong kontrol ng browser, kabilang ang:

  • Pag-aani ng query sa paghahanap.
  • Nire-redirect ang mga paghahanap sa pamamagitan ng trovi.com, isang kilalang hijacker.
  • Pag-exfiltrate ng cookies mula sa mga naka-target na domain.

Pagsapit ng kalagitnaan ng 2024, tatlong extension na may matagal nang lehitimong paggamit ang binago para kumuha ng mga oras-oras na JavaScript payload mula sa 'api.extensionplay(dot)com,' na isinasagawa ang mga ito upang subaybayan ang bawat pagbisita sa site at magpadala ng naka-encrypt na data sa 'api.cleanmasters(dot)store.' Ang mga payload ay na-obfuscate nang husto at pumasok sa benign mode kung natukoy ang mga tool ng developer, na tumutulong sa malware na maiwasan ang pagtuklas.

Mga Advanced na Kakayahang Pag-atake

Higit pa sa pagsubaybay, ang mga extension na ito ay maaaring magsagawa ng mga pag-atake ng adversary-in-the-middle (AitM), na nagpapadali sa:

  • Pagnanakaw ng kredensyal.
  • Pag-hijack ng session.
  • Arbitrary code injection sa anumang site.

Ang pagsubaybay ay tumindi gamit ang mga add-on ng Microsoft Edge tulad ng WeTab, na nakakuha ng malawak na mga pakikipag-ugnayan ng user, kabilang ang gawi sa pag-scroll, oras na ginugol sa mga page, at lahat ng fingerprint ng browser. Ang mga extension na ito ay hindi na magagamit para sa pag-download mula sa kani-kanilang mga marketplace.

Mga Inirerekomendang Pagkilos para sa Mga User

Ang kampanyang ito ay umunlad sa pamamagitan ng apat na magkakaibang yugto, na umuusbong mula sa mga lehitimong kasangkapan hanggang sa sopistikadong spyware. Bagama't hindi malinaw kung artipisyal na pinalaki ang mga bilang ng pag-download upang lumabas na lehitimo, nananatiling malubha ang panganib sa mga user. Ang mga user na nag-install ng alinman sa mga extension na ito ay dapat na alisin kaagad ang mga extension at i-rotate ang mga password para sa lahat ng online na account.

Mga halimbawa ng mga apektadong extension:

  • Clean Master: ang pinakamahusay na Chrome Cache Cleaner
  • Speedtest Pro-Libreng Online na Pagsusuri sa Bilis ng Internet
  • BlockSite
  • Address bar search engine switcher
  • SafeSwift Bagong Tab
  • Infinity V+ Bagong Tab
  • OneTab Plus: Pamamahala ng Tab at Produktibo
  • WeTab 新标签页
  • Infinity New Tab para sa Mobile
  • Infinity New Tab (Pro)
  • Infinity New Tab
  • Dream Afar Bagong Tab
  • I-download ang Manager Pro
  • Galaxy Theme Wallpaper HD 4k HomePage
  • Halo 4K Wallpaper HD Homepage
  • Mga aral mula sa ShadyPanda

Ang tagumpay ng ShadyPanda ay binibigyang-diin na ang teknikal na pagiging sopistikado lamang ay hindi kinakailangan, ang kampanya ay umunlad sa pamamagitan ng pagsasamantala sa isang sistematikong kahinaan sa mga marketplace ng extension ng browser. Ang mga extension ay sinusuri kapag isinumite, ngunit ang pag-uugali pagkatapos ng pag-apruba ay higit na hindi sinusubaybayan. Ang pangmatagalang agwat sa pangangasiwa na ito ay nagpapahintulot sa mga pinagkakatiwalaang tool na tahimik na umunlad sa mga platform ng pagsubaybay, na itinatampok ang pangangailangan para sa patuloy na pagbabantay, kahit na may na-verify na software.

Trending

Pinaka Nanood

Naglo-load...