Aktér hrozeb známý jako ShadyPanda byl spojen s kampaní zaměřenou na rozšíření prohlížečů, která v průběhu času nasbírala přes 4,3 milionu instalací.

Pět z těchto rozšíření začínalo jako legitimní programy, než byly v polovině roku 2024 zavedeny škodlivé změny, což podle zprávy společnosti Koi Security přilákalo 300 000 instalací. Tato rozšíření byla od té doby odstraněna.

„Tato rozšíření nyní každou hodinu spouštějí vzdálené spouštění kódu – stahují a spouštějí libovolný JavaScript s plným přístupem k prohlížeči,“ uvedl bezpečnostní výzkumník Tuval Admoni ve zprávě sdílené s The Hacker News. „Monitorují každou návštěvu webových stránek, exfiltrují šifrovanou historii prohlížení a shromažďují kompletní otisky prohlížeče.“

K zhoršení situace přispělo, že jedno z rozšíření, Clean Master, bylo v určitém okamžiku doporučeno a ověřeno společností Google. Toto budování důvěry umožnilo útočníkům rozšířit jejich uživatelskou základnu a o roky později tiše vydávat škodlivé aktualizace, aniž by vzbudili jakékoli podezření.

Mezitím je další sada pěti doplňků od stejného vydavatele navržena tak, aby sledovala každou URL navštívenou jejich uživateli, zaznamenávala dotazy do vyhledávačů a kliknutí myší a přenášela informace na servery umístěné v Číně. Tato rozšíření byla nainstalována přibližně čtyřimilionykrát, přičemž samotný WeTab představuje tři miliony instalací.

Časné známky škodlivé aktivity byly pozorovány v roce 2023, kdy bylo v Chrome Web Store a Microsoft Edge publikováno 20 rozšíření a 125 rozšíření vývojářů s názvy „nuggetsno15″ a „rocket Zhang“. Všechna identifikovaná rozšíření se vydávala za aplikace pro tapety nebo produktivitu.

Bylo zjištěno, že tato rozšíření se zabývají partnerským podvodem tím, že tajně vkládají sledovací kódy, když uživatelé navštíví eBay, Booking.com nebo Amazon, aby generovali nelegální provize z nákupů uživatelů. Na začátku roku 2024 se útok posunul od zdánlivě neškodných injekcí k aktivní kontrole prohlížeče prostřednictvím přesměrování vyhledávacích dotazů, sběru vyhledávacích dotazů a exfiltrace cookies z konkrétních domén.

„Každé webové vyhledávání bylo přesměrováno přes trovi.com – známého únosce prohlížeče,“ uvedla společnost Koi. „Vyhledávací dotazy zaznamenány, zpeněženy a prodány. Výsledky vyhledávání manipulovány za účelem zisku.“

V polovině roku 2024 bylo pět rozšíření, z nichž tři fungovala legitimně po celé roky, upraveno tak, aby distribuovala škodlivou aktualizaci, která zavedla funkci podobnou zadním vrátkům kontrolou domény „api.extensionplay[.]com“ jednou za hodinu za účelem získání JavaScriptového payloadu a jeho spuštění.

Payload je navržen tak, aby monitoroval každou návštěvu webových stránek a odesílal data v šifrovaném formátu na server ShadyPanda („api.cleanmasters[.]store“) spolu s podrobným otiskem prohlížeče. Kromě použití rozsáhlého obfuskování k zakrytí funkčnosti jakýkoli pokus o přístup k vývojářským nástrojům prohlížeče způsobí, že přepne na benigní chování.

Rozšíření navíc mohou provádět útoky typu adversary-in-the-middle (AitM) k usnadnění krádeže přihlašovacích údajů, únos relací a vkládání libovolného kódu na jakoukoli webovou stránku.

Zdroj: thehackernews.com