В Chrome и Edge обнаружены вредоносные расширения, которые были установлены пользователями по всему миру более 4,3 млн раз с 2018 года. Некоторые из них действовали как шпионы, другие использовались для мошенничества на «партнерках». О хакерской операции под кодовым названием ShadyPanda на днях сообщили специалисты компании Koi Security.
По словам экспертов, это одна из самых длительных и масштабных операций такого рода за последние годы. Всего злоумышленники разработали и распространили 145 вредоносных расширений — 20 для Chrome и 125 для Edge.
Пять расширений, включая WeTab, на который приходится 3 млн установок, активно собирали каждый посещённый пользователем URL, поисковый запрос и клик и передавали эти данные на китайские серверы.
С чего всё началось
Поначалу расширения маскировались под безобидные инструменты для улучшения работы браузера: смена обоев и повышение производительности. Однако спустя пять лет — в 2023 году — мошенники запустили целую машину для атак и превратили их в оружие для заработка на партнерских программах и массового сбора данных.
Некоторые расширения, принадлежащие ShadyPanda, были верифицированы Google и отмечены как избранные. Это позволило злоумышленникам повысить доверие к своим инструментам и ускорить распространение вредоноса среди пользователей.
Старт атак — накрутка комиссий на eBay и Amazon
С помощью расширений злоумышленники начали внедрять реферальные коды от крупных маркетплейсов, таких как Booking.com, eBay и Amazon, в пользовательские ссылки и зарабатывали на вознаграждениях с каждой покупки пользователя, к которым на самом деле не имели никакого отношения.
На этом этапе хакгруппа извлекла три важных урока:
- Служба контроля качества веб-магазинов выполняет ключевую проверку расширений только на этапе подачи заявки от разработчиков на размещение в каталоге и не отслеживает дальнейшее поведение.
- Пользователи доверяют расширениям с большим количеством установок и положительными отзывами.
- Терпение окупается — некоторые из них выполняли вредоносные действия месяцами до того, как были обнаружены, так как до этого работали как рядовые утилиты и не привлекали к себе внимания.
В начале 2024 года атаки приняли новый оборот и стали более агрессивными. Расширение Infinity V+, принадлежащее хакгруппе ShadyPanda, начало перехватывать поисковые запросы. Каждый перенаправлялся через trovi[.]com — известный угонщик браузеров. Поисковые запросы регистрировались, монетизировались и продавались.
Кроме того, мошенники начали похищать файлы cookie для дальнейшего использования, работать как кейлоггер и собирать даже опечатки и исправления. Данные передавались на внешние серверы на поддоменах gotocdn[.]com.
Третий этап — одно обновление, которое погубило сотни тысяч браузеров
Чтобы приступить к третьей и самой опасной фазе атак злоумышленники выбрали выжидательную тактику. Несколько расширений с ранее превосходной репутацией были обновлены на 300+ тысячах пользовательских браузеров — одна только утилита Clean Master была установлена более 200 тыс. раз. В результате обновления в них был внедрен бэкдор для тайного удалённого доступа и исполнения вредоносного кода.
Четвертая стадия — шпионская империя
Четвертая и текущая фаза мошеннической операции связана с пятью расширениями для Microsoft Edge, выпущенными в 2023 году компанией Starlab Technology. Эти расширения уже набрали более 4 млн установок и активно собирают конфиденциальные данные пользователей, которые затем отправляют на 17 доменов, зарегистрированных в Китае.
Злоумышленники собирают всё:
- историю посещений,
- поисковые запросы,
- нажатия клавиш,
- движения мыши с детальными координатами,
- цифровые следы устройств,
- содержимое локального хранилища браузера,
- данные сессий и cookie-файлы.
Эксперты предупреждают, что технический потенциал для внедрения гораздо более опасных вариантов бэкдора в эти расширения сохраняется, однако на сегодня таких случаев не зафиксировано.
Google уже удалила большинство вредоносных расширений из Chrome Web Store, однако в Microsoft Edge Add-ons они все еще остаются доступными.
Специалисты Koi Security рекомендуют всем пользователям немедленно удалить подозрительные расширения и изменить пароли во всех аккаунтах. Они приводят следующий список утилит, которые принадлежат хакгруппе:
- Clean Master: the best Chrome Cache Cleaner
- Speedtest Pro-Free Online Internet Speed Test
- BlockSite
- Address bar search engine switcher
- SafeSwift New Tab
- Infinity V+ New Tab
- OneTab Plus: Tab Manage & Productivity
- WeTab 新标签页
- Infinity New Tab for Mobile
- Infinity New Tab (Pro)
- Infinity New Tab
- Dream Afar New Tab
- Download Manager Pro
- Galaxy Theme Wallpaper HD 4k HomePage
- Halo 4K Wallpaper HD HomePage
Данная мошенническая операция, по мнению экспертов, подчеркнула ключевую проблему магазинов расширений: когда те проходят основную проверку только на этапе подачи заявки на размещение в каталоге. Что будет после и как они себя ведут в дальнейшем — не имеет значения.
Ранее мы писали в нашем блоге про вредоносные расширения, которые угнали браузеры 2,3 млн пользователей Chrome и Edge. Тогда специалисты Koi Security сообщили о мошеннической операции RedDirection.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
