Koi Security je otkrio dugotrajnu operaciju poznatu kao ShadyPanda, u okviru koje je prikupljeno preko 4,3 miliona instalacija naizgled legitimnih Chrome i Edge ekstenzija koje su se vremenom pretvorile u malver.
Operacija se razvijala u više faza, postepeno uvodeći dodatne maliciozne funkcije i pretvarajući ekstenzije iz običnih alata u špijunski softver.
ShadyPanda kampanja obuhvata 145 malicioznih ekstenzija (20 za Chrome i 125 za Edge). Iako ih je Google uklonio iz Web Store-a, Koi navodi da kampanja i dalje traje na Microsoft Edge Add-ons platformi, gdje jedna ekstenzija i dalje bilježi čak 3 miliona instalacija.
Napominje se da i dalje nije jasno da li je broj instalacija vještački uvećan radi stvaranja privida legitimnosti.
Iako je prvi set ShadyPanda ekstenzija podnijet još 2018. godine, prve maliciozne aktivnosti zabilježene su 2023, i to kroz ekstenzije maskirane kao alati za pozadine i produktivnost.
Prema Koi istraživačima, ove ekstenzije su vršile affiliate prevaru ubrizgavanjem eBay, Booking.com i Amazon tracking kodova u legitimne linkove, kako bi generisale prihod od kupovina korisnika.
Početkom 2024. godine ekstenzija Infinity V+ počinje da sprovodi otmicu pretrage, što je ukazalo da hakeri postaju sve agresivniji.
Koi navodi da je ekstenzija preusmjeravala upite ka trovi[.]com, eksfiltrisala korisničke kolačiće ka dergoodting[.]com i slala pretrage ka gotocdn poddomenima.
U 2024. godini pet ekstenzija — uključujući tri koje su postavljene 2018. i 2019. i koje su u međuvremenu stekle dobru reputaciju — dobile su „backdoor“ kroz ažuriranje koje je omogućilo izvršavanje koda na daljinu.
„Svaki inficirani pregledač pokreće okvir za izvršavanje koda na daljinu. Svakog sata provjerava api.extensionplay[.]com za nova uputstva, preuzima proizvoljan JavaScript i izvršava ga sa punim pristupom browser API-ju“, objašnjava Koi Security.
„Ovo nije malver sa fiksiranom funkcijom. Ovo je backdoor.“
Backdoor takođe eksfiltrira URL-ove istorije pregledanja, podatke o otisku uređaja i trajne identifikatore ka api[.]cleanmasters[.]store, koristeći AES enkripciju.
Posebno se ističe ekstenzija Clean Master sa Chrome Web Store-a, koja je u trenutku otkrivanja imala 200.000 instalacija. Ukupno, ekstenzije sa istim payload-om dostigle su oko 300.000 instalacija.
Četvrta, i jedina faza koja je i dalje aktivna, obuhvata pet Edge ekstenzija izdavača Starlab Technology iz 2023. godine. Od tada, ove ekstenzije prikupile su 4 miliona instalacija.
Prema istraživačima, špijunska komponenta prikuplja sljedeće podatke i šalje ih na 17 domena u Kini:
- istoriju pregledanja
- pretrage i kucanje (keystrokes)
- klikove mišem sa koordinatama
- podatke o otisku uređaja
- local/session storage i kolačiće
Koi Security napominje da ove ekstenzije imaju dovoljno dozvola da kroz ažuriranje isporuče isti backdoor kao u Clean Master setu, iako takve aktivnosti za sada nisu uočene.
Istraživači navode da su obavijestili Google i Microsoft o malicioznim ekstenzijama. Dok su one naknadno uklonjene iz Google Play Store-a, BleepingComputer je u trenutku pisanja i dalje pronašao „WeTab 新标签页“ (3 miliona korisnika) i „Infinity New Tab (Pro)“ (650.000 korisnika) na Microsoft Edge Add-ons store-u.
Kompletna lista svih ID-eva ekstenzija povezanih sa ShadyPanda operacijom nalazi se na dnu Koi Security izvještaja.
Korisnicima se preporučuje da ekstenzije odmah uklone i resetuju lozinke na svim svojim nalozima.
Izvor: BleepingComputer