Шкідливі розширення браузера ShadyPanda
Яскравим прикладом довгострокової кіберексплуатації є зловмисник під назвою ShadyPanda, який провів семирічну кампанію, спрямовану проти розширень браузера, в результаті якої було встановлено понад 4,3 мільйона розширень. Ця операція демонструє, як навіть легітимне програмне забезпечення може бути використане як зброя за відсутності належного нагляду.
Зміст
Від легітимних інструментів до шкідливих оновлень
П'ять зі скомпрометованих розширень спочатку були легітимними програмами, але в середині 2024 року їх було модифіковано шкідливим функціоналом. Ці оновлення отримали приблизно 300 000 встановлень, перш ніж розширення зрештою було видалено. Шкідливі оновлення дозволяли щогодинне віддалене виконання коду, дозволяючи зловмисникам завантажувати та запускати довільний JavaScript з повним доступом до браузера. Після активації ці розширення:
- Відстежуйте кожен відвідуваний веб-сайт.
- Витягніть зашифровану історію переглядів.
- Зберіть повні відбитки пальців браузера.
Яскравим прикладом є Clean Master, який раніше був підтверджений Google. Його офіційний статус допоміг ShadyPanda розширити свою базу користувачів, дозволяючи шкідливі оновлення, не викликаючи підозр.
Масове спостереження за допомогою популярних доповнень
Інший набір із п’яти розширень, включаючи WeTab, здійснював масовий моніторинг користувачів. Ці доповнення відстежували URL-адреси, пошукові запити, кліки миші та інші дії браузера, передаючи дані на сервери, розташовані в Китаї. Загалом ці розширення були встановлені приблизно чотири мільйони разів, причому лише WeTab зафіксував три мільйони встановлень.
Перші ознаки шкідливої поведінки з'явилися у 2023 році, зокрема, серед розробників nuggetsno15 та rocket Zhang, які опублікували 20 розширень Chrome та 125 розширень Edge, замаскованих під шпалери або інструменти продуктивності.
Використання партнерського шахрайства та викрадення браузера
Розширення ShadyPanda спочатку займалися шахрайством з партнерами, впроваджуючи коди відстеження на такі сайти, як eBay, Amazon та Booking.com, для отримання незаконних комісійних. На початку 2024 року ця тактика переросла в активний контроль браузера, включаючи:
- Збір пошукових запитів.
- Перенаправлення пошукових запитів через trovi.com, відомого викрадача програмного забезпечення.
- Вилучення файлів cookie з цільових доменів.
До середини 2024 року три розширення, які давно легально використовувалися, були модифіковані для отримання погодинних корисних даних JavaScript з «api.extensionplay(крапка)com», виконуючи їх для моніторингу кожного відвідування сайту та передачі зашифрованих даних до «api.cleanmasters(крапка)store». Корисні дані були сильно обфусковані та переходили в безпечний режим, якщо виявлялися інструменти розробника, що допомагало шкідливому програмному забезпеченню уникнути виявлення.
Розширені можливості атаки
Окрім відстеження, ці розширення можуть ініціювати атаки типу «зловмисник посередині» (AitM), сприяючи:
- Крадіжка посвідчень.
- Викрадення сесії.
- Впровадження довільного коду на будь-який сайт.
Спостереження посилилося завдяки доповненням Microsoft Edge, таким як WeTab, які фіксували масштабні дії користувачів, включаючи поведінку прокручування, час, проведений на сторінках, та всі відбитки браузера. Ці розширення більше не доступні для завантаження з відповідних торгових майданчиків.
Рекомендовані дії для користувачів
Ця кампанія пройшла чотири окремі фази, еволюціонуючи від легітимних інструментів до складних шпигунських програм. Хоча неясно, чи була кількість завантажень штучно завищена, щоб виглядати законною, ризик для користувачів залишається серйозним. Користувачам, які встановили будь-яке з цих розширень, слід негайно видалити розширення та змінити паролі для всіх онлайн-акаунтів.
Приклади розширень, на які це впливає:
- Clean Master: найкращий очищувач кешу Chrome
- Speedtest Pro - безкоштовний онлайн-тест швидкості інтернету
- БлокСайт
- Перемикач пошукової системи в адресному рядку
- Нова вкладка SafeSwift
- Безкінечність V+ Нова вкладка
- OneTab Plus: Керування вкладками та продуктивність
- WeTab 新标签页
- Нова вкладка Infinity для мобільних пристроїв
- Безкінечна нова вкладка (Pro)
- Безкінечна нова вкладка
- Мрія вдалині Нова вкладка
Успіх ShadyPanda підкреслює, що сама лише технічна досконалість не є необхідною, кампанія процвітала завдяки використанню системної вразливості на торгових майданчиках розширень для браузерів. Розширення перевіряються після подання, але їхня поведінка після затвердження здебільшого не контролюється. Цей тривалий пробіл у нагляді дозволив надійним інструментам непомітно перетворитися на платформи спостереження, що підкреслює необхідність постійної пильності, навіть із перевіреним програмним забезпеченням.
