Семилетняя кампания вредоносных браузерных расширений заразила 4,3 млн пользователей Google Chrome и Microsoft Edge, внедрив в их системы бэкдоры и шпионское ПО, передающее данные на серверы в Китае. По данным исследователей Koi, пять из этих расширений, каждое с более чем 4 млн установок, продолжают работать в магазине Edge.
Злоумышленники, получившие название ShadyPanda, выбрали длительную стратегию: публиковали легитимные расширения, накапливали тысячи и иногда миллионы загрузок в течение нескольких лет, а затем выпускали обновление, наполненное вредоносным кодом, которое автоматически распространялось среди всей пользовательской базы.
Поскольку оба магазина проверяют расширения только в момент их подачи, а не в процессе эксплуатации, эти казалось бы безупречные инструменты продуктивности, некоторые из которых имели статус «Featured» и «Verified», а также сияющие отзывы и высокие показатели установок, смогли годами тайно отслеживать поведение людей и красть конфиденциальную информацию.
«Никакого фишинга. Никакой социальной инженерии. Просто доверенные расширения с тихими обновлениями, превратившими инструменты продуктивности в платформы слежения», — говорится в понедельничном блоге команды по охоте за угрозами Koi.
Microsoft не прокомментировала запросы The Register. Представитель Google подтвердил, что ни одно из расширений недоступно в Chrome Web Store, и подчеркнул, что компания проверяет каждое обновление расширений в Chrome, даже если изменения минимальны.
Koi отслеживала деятельность ShadyPanda в нескольких фазах и сообщает, что две кампании всё ещё активны.
Одна из кампаний включала пять расширений, заражающих 300 000 пользователей удалённым бэкдором с возможностью выполнения кода. Три из них были опубликованы в 2018–2019 гг. и получили статусы Featured и Verified. Одно из этих расширений — Clean Master от Starlab Technology — насчитывает более 200 000 установок.
В середине 2024 года, после более 300 000 загрузок, ShadyPanda выпустил вредоносное обновление с бэкдором, которое было распространено на все пять расширений в Chrome и Edge. Хотя расширения впоследствии были удалены из обеих витрин, исследователи отметили, что «инфраструктура полномасштабных атак остаётся активной во всех заражённых браузерах».
Вредоносное ПО обеспечивает полное наблюдение за браузером, проверяя api.extensionplay[.]com каждый час, загружая произвольный JavaScript и выполняя его с полным доступом к API браузера. Оно также способно внедрять злонамеренный контент в любые сайты, включая HTTPS‑соединения.
Clean Master передаёт все украденные данные — каждый посещённый URL, HTTP‑рефереры, временные метки активности, постоянные UUID4‑идентификаторы и полные отпечатки браузера — на серверы, контролируемые ShadyPanda.
Кроме того, в коде присутствуют функции анти‑анализа: при открытии инструментов разработчика вредоносное поведение переключается в безвредный режим.
Пять дополнительных расширений того же издателя были запущены в Edge около 2023 года и в совокупности получили более четырёх миллионов установок. По данным Koi, все они всё ещё доступны в магазине Edge, а два из них устанавливают шпионское ПО на машины пользователей.
Одно из этих расширений — WeTab — имеет три миллиона установок. Это платформа слежения, замаскированная под инструмент продуктивности, собирающая всё: URL‑адреса, поисковые запросы, движения мыши, отпечатки браузера, данные взаимодействия со страницами и доступ к хранилищу, и незамедлительно передающая их на 17 различных доменов (8 серверов Baidu в Китае, 7 серверов WeTab в Китае и Google Analytics).
«Расширение уже имеет опасные разрешения, включая доступ ко всем URL и куки; пользователи продолжают их скачивать», — написали исследователи. «ShadyPanda может в любой момент выпустить обновления, вооружив 4 млн браузеров тем же RCE‑бэкдором из Clean Master или чем‑то ещё хуже».
Koi также проследила ShadyPanda к нескольким более ранним, сейчас неактивным кампаниям. Одна из них, проведённая в 2023 году, включала 20 расширений Chrome Web Store и 125 в Microsoft Edge, выдававшихся за обои или инструменты продуктивности.
Эти расширения молчаливо отслеживали и монетизировали данные о просмотрах. При переходе пользователя на eBay, Amazon или Booking.com они внедряли партнёрские трекинговые коды и Google Analytics, которые затем регистрировались и продавались.
Вторая неактивная кампания начала 2023 года также маскировалась под новую вкладку‑инструмент продуктивности под названием Infinity V+. Она перенаправляла каждый поисковый запрос на сайт‑угонщик браузера trovi.com, похищала куки и фиксировала нажатия клавиш в строке поиска, отправляя всё на внешние серверы.
Исследователи считают, что все эти кампании ShadyPanda демонстрируют проблему управления расширениями в магазинах: «После одобрения они не контролируют дальнейшую деятельность», — подытожили они. ®
Автор – Jessica Lyons
