Исследователи из компании Koi Security раскрыли детали семилетней кампании кибершпионажа, организованной группировкой ShadyPanda. Согласно отчету, переданному изданию The Hacker News исследователем безопасности Тувалом Адмони, злоумышленники использовали легитимные расширения для браузеров, превращая их в инструменты для слежки и кражи данных. Общий охват атаки превысил 4,3 миллиона установок, при этом хакеры не прибегали к фишингу или социальной инженерии, полагаясь исключительно на доверие пользователей к официальным магазинам приложений.
Хронология инцидента охватывает длительный период, но первые явные признаки вредоносной активности были зафиксированы в 2023 году. Тогда в Chrome Web Store было опубликовано 20 расширений, а в магазине Microsoft Edge — 125. В начале 2024 года тактика атакующих изменилась: они перешли от пассивного мошенничества с партнерскими программами к активному контролю над браузерами, включая перенаправление трафика и сбор данных. В середине 2024 года злоумышленники внедрили вредоносные изменения в пять конкретных расширений, которые до этого момента функционировали как полностью легитимные инструменты.
Среди скомпрометированных программ исследователи выделили две основные группы. Первая группа, получившая вредоносные обновления в середине 2024 года, насчитывала 300 000 установок. Ключевым элементом здесь стало расширение Clean Master, которое ранее было верифицировано Google и продвигалось как рекомендованное, что создало у пользователей ложное чувство безопасности. Разработчиком этих утилит, ныне удаленных из магазинов, числился пользователь под псевдонимом «nuggetsno15».
Вторая, более масштабная группа, ориентированная на Microsoft Edge Addons hub, включала пять дополнений с совокупной базой около 4 миллионов установок. Самым популярным инструментом оказалось расширение WeTab, на которое приходится 3 миллиона загрузок. На момент написания отчета WeTab все еще доступен для скачивания. Эти инструменты связаны с разработчиком, использующим имя «rocket Zhang».
Технически атака реализовывалась через механизм автоматического обновления. Используя доверенные каналы доставки Chrome и Edge, ShadyPanda незаметно внедряла вредоносный код посредством обновления версий. Зараженные расширения ежечасно обращались к управляющему домену api.extensionplay[.]com для получения и выполнения произвольных JavaScript-пейлоадов. Код был сильно обфусцирован и содержал механизмы противодействия анализу: при попытке открыть инструменты разработчика (Developer Tools) в браузере, расширение мгновенно переключалось на безопасный режим работы, скрывая свою истинную сущность.
Функционал вредоносного ПО был обширным. Злоумышленники тайно внедряли трекинговые коды для eBay, и Amazon, получая незаконные комиссионные от партнерских программ. Кроме того, осуществлялся перехват поисковых запросов с перенаправлением через известный угонщик браузеров . Хакеры также проводили атаки типа «Adversary-in-the-Middle» (AitM), создавая условия для кражи учетных данных и перехвата сессий пользователей.
Масштаб слежки охватывал практически все действия жертвы в сети. Шпионское ПО фиксировало каждый посещенный URL-адрес, все поисковые запросы, которые затем монетизировались или продавались, а также клики мышью. Программа собирала файлы cookie с определенных доменов, создавала полные цифровые отпечатки браузеров и анализировала метрики взаимодействия с пользователем, такие как время просмотра страницы и поведение при прокрутке.
Все похищенные данные передавались на серверы ShadyPanda, расположенные в Китае, через домен api.cleanmasters[.]store. Эксперты подчеркивают, что ключевой уязвимостью стала политика маркетплейсов Chrome и Edge: проверка расширений проводится только на этапе первичной подачи заявки, тогда как поведение ПО после одобрения и последующих обновлений не подвергается должному мониторингу. Пользователям, установившим упомянутые расширения, рекомендуется немедленно удалить их и провести ротацию всех учетных данных.
Изображение носит иллюстративный характер
Хронология инцидента охватывает длительный период, но первые явные признаки вредоносной активности были зафиксированы в 2023 году. Тогда в Chrome Web Store было опубликовано 20 расширений, а в магазине Microsoft Edge — 125. В начале 2024 года тактика атакующих изменилась: они перешли от пассивного мошенничества с партнерскими программами к активному контролю над браузерами, включая перенаправление трафика и сбор данных. В середине 2024 года злоумышленники внедрили вредоносные изменения в пять конкретных расширений, которые до этого момента функционировали как полностью легитимные инструменты.
Среди скомпрометированных программ исследователи выделили две основные группы. Первая группа, получившая вредоносные обновления в середине 2024 года, насчитывала 300 000 установок. Ключевым элементом здесь стало расширение Clean Master, которое ранее было верифицировано Google и продвигалось как рекомендованное, что создало у пользователей ложное чувство безопасности. Разработчиком этих утилит, ныне удаленных из магазинов, числился пользователь под псевдонимом «nuggetsno15».
Вторая, более масштабная группа, ориентированная на Microsoft Edge Addons hub, включала пять дополнений с совокупной базой около 4 миллионов установок. Самым популярным инструментом оказалось расширение WeTab, на которое приходится 3 миллиона загрузок. На момент написания отчета WeTab все еще доступен для скачивания. Эти инструменты связаны с разработчиком, использующим имя «rocket Zhang».
Технически атака реализовывалась через механизм автоматического обновления. Используя доверенные каналы доставки Chrome и Edge, ShadyPanda незаметно внедряла вредоносный код посредством обновления версий. Зараженные расширения ежечасно обращались к управляющему домену api.extensionplay[.]com для получения и выполнения произвольных JavaScript-пейлоадов. Код был сильно обфусцирован и содержал механизмы противодействия анализу: при попытке открыть инструменты разработчика (Developer Tools) в браузере, расширение мгновенно переключалось на безопасный режим работы, скрывая свою истинную сущность.
Функционал вредоносного ПО был обширным. Злоумышленники тайно внедряли трекинговые коды для eBay, и Amazon, получая незаконные комиссионные от партнерских программ. Кроме того, осуществлялся перехват поисковых запросов с перенаправлением через известный угонщик браузеров . Хакеры также проводили атаки типа «Adversary-in-the-Middle» (AitM), создавая условия для кражи учетных данных и перехвата сессий пользователей.
Масштаб слежки охватывал практически все действия жертвы в сети. Шпионское ПО фиксировало каждый посещенный URL-адрес, все поисковые запросы, которые затем монетизировались или продавались, а также клики мышью. Программа собирала файлы cookie с определенных доменов, создавала полные цифровые отпечатки браузеров и анализировала метрики взаимодействия с пользователем, такие как время просмотра страницы и поведение при прокрутке.
Все похищенные данные передавались на серверы ShadyPanda, расположенные в Китае, через домен api.cleanmasters[.]store. Эксперты подчеркивают, что ключевой уязвимостью стала политика маркетплейсов Chrome и Edge: проверка расширений проводится только на этапе первичной подачи заявки, тогда как поведение ПО после одобрения и последующих обновлений не подвергается должному мониторингу. Пользователям, установившим упомянутые расширения, рекомендуется немедленно удалить их и провести ротацию всех учетных данных.
