Масштабная кампания ShadyPanda заразила миллионы браузеров через официальные обновления

Исследователи из компании Koi Security раскрыли детали семилетней кампании кибершпионажа, организованной группировкой ShadyPanda. Согласно отчету, переданному изданию The Hacker News исследователем безопасности Тувалом Адмони, злоумышленники использовали легитимные расширения для браузеров, превращая их в инструменты для слежки и кражи данных. Общий охват атаки превысил 4,3 миллиона установок, при этом хакеры не прибегали к фишингу или социальной инженерии, полагаясь исключительно на доверие пользователей к официальным магазинам приложений.
Масштабная кампания ShadyPanda заразила миллионы браузеров через официальные обновления
Изображение носит иллюстративный характер

Хронология инцидента охватывает длительный период, но первые явные признаки вредоносной активности были зафиксированы в 2023 году. Тогда в Chrome Web Store было опубликовано 20 расширений, а в магазине Microsoft Edge — 125. В начале 2024 года тактика атакующих изменилась: они перешли от пассивного мошенничества с партнерскими программами к активному контролю над браузерами, включая перенаправление трафика и сбор данных. В середине 2024 года злоумышленники внедрили вредоносные изменения в пять конкретных расширений, которые до этого момента функционировали как полностью легитимные инструменты.

Среди скомпрометированных программ исследователи выделили две основные группы. Первая группа, получившая вредоносные обновления в середине 2024 года, насчитывала 300 000 установок. Ключевым элементом здесь стало расширение Clean Master, которое ранее было верифицировано Google и продвигалось как рекомендованное, что создало у пользователей ложное чувство безопасности. Разработчиком этих утилит, ныне удаленных из магазинов, числился пользователь под псевдонимом «nuggetsno15».

Вторая, более масштабная группа, ориентированная на Microsoft Edge Addons hub, включала пять дополнений с совокупной базой около 4 миллионов установок. Самым популярным инструментом оказалось расширение WeTab, на которое приходится 3 миллиона загрузок. На момент написания отчета WeTab все еще доступен для скачивания. Эти инструменты связаны с разработчиком, использующим имя «rocket Zhang».

Технически атака реализовывалась через механизм автоматического обновления. Используя доверенные каналы доставки Chrome и Edge, ShadyPanda незаметно внедряла вредоносный код посредством обновления версий. Зараженные расширения ежечасно обращались к управляющему домену api.extensionplay[.]com для получения и выполнения произвольных JavaScript-пейлоадов. Код был сильно обфусцирован и содержал механизмы противодействия анализу: при попытке открыть инструменты разработчика (Developer Tools) в браузере, расширение мгновенно переключалось на безопасный режим работы, скрывая свою истинную сущность.

Функционал вредоносного ПО был обширным. Злоумышленники тайно внедряли трекинговые коды для eBay, и Amazon, получая незаконные комиссионные от партнерских программ. Кроме того, осуществлялся перехват поисковых запросов с перенаправлением через известный угонщик браузеров . Хакеры также проводили атаки типа «Adversary-in-the-Middle» (AitM), создавая условия для кражи учетных данных и перехвата сессий пользователей.

Масштаб слежки охватывал практически все действия жертвы в сети. Шпионское ПО фиксировало каждый посещенный URL-адрес, все поисковые запросы, которые затем монетизировались или продавались, а также клики мышью. Программа собирала файлы cookie с определенных доменов, создавала полные цифровые отпечатки браузеров и анализировала метрики взаимодействия с пользователем, такие как время просмотра страницы и поведение при прокрутке.

Все похищенные данные передавались на серверы ShadyPanda, расположенные в Китае, через домен api.cleanmasters[.]store. Эксперты подчеркивают, что ключевой уязвимостью стала политика маркетплейсов Chrome и Edge: проверка расширений проводится только на этапе первичной подачи заявки, тогда как поведение ПО после одобрения и последующих обновлений не подвергается должному мониторингу. Пользователям, установившим упомянутые расширения, рекомендуется немедленно удалить их и провести ротацию всех учетных данных.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка