Исследователи из Koi Security раскрыли длительную вредоносную операцию, получившую название ShadyPanda, в результате которой более 4,3 млн пользователей браузеров Chrome и Edge установили на свои устройства расширения, впоследствии превратившиеся в шпионские инструменты.
Механизм атаки был построен на постепенном внедрении дополнительных вредоносных возможностей. Изначально расширения выглядели как безобидные утилиты — темы оформления, инструменты для повышения производительности или удобства использования. Со временем они получали обновления, которые превращали их в средства слежки, перехвата данных и удалённого контроля.
В рамках кампании было выявлено 145 вредоносных расширений — 20 для Chrome и 125 для Edge. Хотя Google успела удалить эти дополнения из своего официального магазина, активность злоумышленников продолжается в экосистеме Microsoft. Одно из расширений для Edge, по данным Koi, установили около 3 млн раз. Исследователи не исключают, что реальные цифры могли быть искусственно завышены для создания иллюзии доверия у пользователей.
Атака берёт начало ещё в 2018 году, когда первые версии расширений появились в каталогах браузеров. Однако реальные признаки вредоносной активности были зафиксированы только в 2023 году. Тогда часть расширений начала внедрять партнёрские идентификаторы eBay, Amazon и Booking.com в обычные ссылки, чтобы перенаправлять прибыль от покупок пользователями в пользу операторов вредоносного ПО.
В начале 2024 года поведение расширений стало более агрессивным. Одним из примеров стал Infinity V+, которое начало перехватывать поисковые запросы и перенаправлять их на сторонние домены вроде trovi[.]com и gotocdn. Кроме того, через сайт dergoodting[.]com осуществлялась передача данных cookies. Такая активность указывает на рост уверенности и ресурсов у злоумышленников.
Позднее специалисты Koi зафиксировали обновления пяти расширений, в том числе трёх, загруженных ещё в 2018–2019 годах. Они содержали встроенный бэкдор, обеспечивающий выполнение произвольного JavaScript-кода. Каждый час заражённый браузер обращается к api.extensionplay[.]com за новыми инструкциями, после чего выполняет полученный код с полным доступом к функциям браузера. Исследователи говорят, что это полноценная платформа удалённого управления, а не вредонос с фиксированными функциями.
Оригинал публикации на сайте CISOCLUB: "Хакеры атаковали миллионы пользователей браузеров через расширения".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.