Специалисты компании Koi Security выявили масштабную хакерскую кампанию ShadyPanda, в рамках которой распространялись вредоносные расширения для браузеров Chrome и Edge. Общее число установок малвари превысило 4,3 млн, а кампания длилась с 2018 года.
Особенность этих атак заключалась в постепенной эволюции расширений: изначально безобидные инструменты со временем превращались в опасное шпионское ПО. За годы активности злоумышленники создали 145 вредоносных расширений — 20 для Chrome и 125 для Edge.
Исследователи пишут, что первые расширения ShadyPanda появились еще в 2018 году, однако вредоносная активность началась только в 2023 году.
На первом этапе своей кампании хакеры распространяли расширения, маскирующиеся под утилиты для смены обоев и повышения продуктивности. Эти расширения занимались партнерским мошенничеством: внедряли коды отслеживания от крупных платформ вроде eBay, Booking и Amazon в ссылки пользователей, чтобы получать комиссию с их покупок.
В начале 2024 года схема начала эволюционировать. Так, расширение Infinity V+ начало перехватывать поисковые запросы, перенаправляя их на подконтрольные злоумышленникам сайты (например, trovi[.]com и поддомены gotocdn) и похищая cookie-файлы пользователей.
Третий этап кампании оказался наиболее опасным. Пять расширений, часть из которых была загружена еще в 2018-2019 годах и успела заработать положительную репутацию, получили обновление, содержащее бэкдор для удаленного выполнения кода. Это превратило их в настоящие инструменты для кибершпионажа.
Одним из ключевых элементов этой атаки было расширение Clean Master, которое на момент обнаружения насчитывало 200 000 установок. Общее количество установок расширений с этой полезной нагрузкой достигло 300 000.
В результате внедрения малвари зараженные браузеры каждый час проверяли специальный сервер на наличие новых команд и выполняли произвольный JavaScript-код с полным доступом к функциям браузера.
Четвертая фаза кампании ShadyPanda продолжается до сих пор и связана с пятью расширениями для Microsoft Edge, которые были опубликованы компанией Starlab Technology еще в 2023 году. Эти расширения установили более 4 млн раз, и они активно собирают конфиденциальную информацию о пользователях.
Расширения отправляют собранные данные на 17 доменов, расположенных в Китае. В список похищаемой информации входят:
- полная история посещенных сайтов;
- поисковые запросы и нажатия клавиш;
- клики мышью с точными координатами;
- фингерпринтинг устройств;
- содержимое локального хранилища, данные сессий и файлы cookie.
Исследователи отмечают, что технически эти расширения в любой момент могут получить через обновление и более опасный бэкдор, аналогичный тому, что использовался в Clean Master, однако пока признаков такой активности не зафиксировано.
На момент публикации отчета специалистов разработчики Google уже удалили вредоносные расширения из Chrome Web Store. Однако в Microsoft Edge Add-ons по-прежнему были доступны вредоносные расширения WeTab с 3 млн пользователей и Infinity New Tab (Pro) с 650 000 установок.
Эксперты Koi Security настоятельно рекомендуют пользователям немедленно удалить опасные расширения и сменить пароли во всех онлайн-аккаунтах.
Полный список идентификаторов вредоносных расширений доступен в отчете компании, а наиболее популярные из них перечислены ниже:
- Clean Master: the best Chrome Cache Cleaner;
- Speedtest Pro-Free Online Internet Speed Test;
- BlockSite;
- Address bar search engine switcher;
- SafeSwift New Tab;
- Infinity V+ New Tab;
- OneTab Plus:Tab Manage & Productivity;
- WeTab 新标签页;
- Infinity New Tab for Mobile;
- Infinity New Tab (Pro);
- Infinity New Tab;
- Dream Afar New Tab;
- Download Manager Pro;
- Galaxy Theme Wallpaper HD 4k HomePage;
- Halo 4K Wallpaper HD HomePage.
