Длительное и скоординированное вмешательство в экосистему расширений для браузеров выявило масштабную операцию под условным именем ShadyPanda. По данным исследования, за семилетний период злоумышленнику удалось заразить примерно 4,3 миллиона браузеров Chrome и Edge. Кампания демонстрирует эволюцию методов — от социальной инженерии до полноценного удалённого выполнения кода и сложной системы скрытия следов.
Фазы кампании
«The Wallpaper Hustle» (начало кампании)
Первый этап, получивший название «The Wallpaper Hustle», стартовал в 2023 году и опирался на массовое размещение поддельных расширений, замаскированных под обои и утилиты повышения продуктивности. Всего было задействовано 145 расширений:
- 20 расширений в Chrome от издателя nuggetsno15;
- 125 расширений в Microsoft Edge от издателя rocket Zhang.
Тактика строилась на социальной инженерии: расширения выглядели безобидно и побуждали пользователей устанавливать их самостоятельно.
«Эволюция перехвата поиска» (начало 2024)
С начала 2024 года кампания перешла в более агрессивную фазу — злоумышленники сменили пассивную монетизацию на активный контроль заражённых браузеров. На этом этапе ShadyPanda развернула платформу удалённого выполнения кода, которая позволяла:
- каждый час загружать и выполнять произвольный JavaScript с указанной конечной точки api.extensionplay.com;
- выполнять скрипты с полным доступом к API браузера;
- манипулировать поведением браузера и выполнять команды оператора.
Технические возможности и методы уклонения
Ключевые технические характеристики обнаруженной инфраструктуры:
- Всестороннее наблюдение: вредоносное ПО отслеживает посещение веб‑сайтов пользователями и отправляет зашифрованные данные на серверы оператора.
- Механизмы уклонения: расширения способны детектировать взаимодействие исследователя с инструментами разработчика и переключаться в «мягкий» режим работы, чтобы скрыть вредоносную активность.
- Сложная обфускация: развёрнутый JavaScript глубоко запутан (минифицированные имена переменных) и дополнен интерпретатором размером 158 КБ, который исполняет скрипты и позволяет обходить Content Security Policy (CSP).
- Точки сбора данных: компонент, отмеченный как WeTab, передаёт пользовательские данные на 17 различных доменов, включая серверы, расположенные в Китае, и использует Google Analytics для отслеживания.
Вмешательство третьих сторон: Starlab Technology
Кампанию поддержал ещё один виток распространения через компанию Starlab Technology, которая выпустила пять дополнительных расширений для Microsoft Edge. В совокупности эти расширения собрали более 4 миллионов установок, используя те же уязвимости и методы, что и ранее размещённые расширения. Это позволило угрозе сохранить широкое покрытие и длительную устойчивость в магазинах расширений.
Системные причины и слабые места рынка расширений
Семилетняя активность ShadyPanda подчёркивает серьёзные недостатки в практике надзора за торговыми площадками расширений. Злоумышленник воспользовался тем, что платформы в основном проводят статический анализ при первичном одобрении и при продлении публикации, но не обеспечивают постоянного динамического мониторинга поведения расширений в рантайме. Этот системный недосмотр позволил ShadyPanda поддерживать и реинвестировать в вредоносные расширения без оперативного обнаружения.
«Кампания ShadyPanda за семилетний период привела к заражению примерно 4,3 миллиона браузеров.» — выводы отчёта
Рекомендации
На основании найденных фактов можно выделить практические шаги для разных участников экосистемы.
Для пользователей
- Проверяйте разрешения расширений и доверяйте только проверенным издателям.
- Регулярно просматривайте список установленных расширений и удаляйте те, которые не используются или вызывают подозрения.
- Используйте антивирусные и EDR‑решения, которые мониторят аномальное поведение расширений.
Для площадок распространения (Chrome Web Store, Microsoft Edge Add-ons и др.)
- Внедрить непрерывный динамический мониторинг поведения расширений в рантайме, а не полагаться только на статический анализ при публикации.
- Усилить проверки издателей и их повторную валидацию при появлении признаков массовых изменений или ре‑пакетирования расширений.
- Обмениваться индикаторами компрометации (IoC) и подозрительными паттернами между платформами и исследовательским сообществом.
Для корпоративных команд безопасности
- Блокировать известные домены и конечные точки, задействованные в кампании.
- Мониторить использование расширений в корпоративной среде и ограничивать установку прав администратора.
- Включать расширения в процессы threat hunting и аудитированию браузерных компонентов.
Заключение
Кампания ShadyPanda — наглядный пример того, как преступные операторы могут использовать слабости в экосистеме расширений для браузеров, добиваясь масштабного и длительного воздействия. Успех этой операции базировался не только на технической изощрённости, но и на системных провалах в контроле магазинов расширений. Исправление этой ситуации требует совместных действий платформ, исследователей и пользователей: внедрения динамического мониторинга, оперативного обмена информацией об угрозах и осторожного отношения к расширениям, запрашивающим широкие права доступа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "ShadyPanda: массовая кампания заражения браузерных расширений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.