- 22,529
- 46
- 8 Ноя 2022
Один из технологических гигантов до сих пор раздаёт этот опасный софт в своём магазине.
Масштабная операция по распространению вредоносных расширений для браузеров Chrome и Edge, получившая название «ShadyPanda», годами развивалась почти незаметно и к настоящему моменту собрала более 4,3 млн установок. Расширения начинали свой путь как полезные инструменты для оформления и повышения удобства работы в браузере, но постепенно превращались в шпионское ПО .
По данным компании Koi Security, за кампанией стоит сеть из 145 расширений — 20 для Chrome и 125 для Edge. Их первые версии начали появляться в каталоге ещё в 2018 году и на старте не проявляли вредоносного поведения, что помогло им накопить положительные оценки и доверие. Злоумышленники стали использовать это только в 2023 году, когда часть расширений, маскирующихся под обои и средства повышения продуктивности, была задействована в партнёрском мошенничестве: в код внедрялись идентификаторы отслеживания для eBay, Booking.com и Amazon, чтобы получать прибыль с покупок пользователей.
В начале 2024 года одно из расширений под названием Infinity V+ начало перенаправлять поисковые запросы на сервис trovi[.]com, одновременно передавая файлы cookie на домен dergoodting[.]com и отправляя историю поисковых запросов на поддомены gotocdn. Таким образом, функциональность постепенно смещалась от навязчивой монетизации к более опасному контролю над трафиком и сбору данных .
Позже в 2024 году пять расширений, среди которых были и продукты, загруженные в магазин ещё в 2018-2019 годах, получили через обновление скрытый модуль с возможностью удалённого выполнения кода. По описанию Koi Security, каждый заражённый браузер регулярно обращается к серверу api.extensionplay[.]com за новыми инструкциями, загружает произвольный JavaScript и запускает его с полным доступом к интерфейсам браузера.
Одновременно собираются посещённые адреса сайтов, параметры цифрового профиля и постоянные идентификаторы, которые шифруются при помощи AES и отправляются на сервер api[.]cleanmasters[.]store. Одним из заметных примеров стало расширение Clean Master в каталоге Chrome, которое на момент обнаружения вредоносного поведения имело около 200 тысяч установок, а общий объём установок расширений с тем же вредоносным модулем достигал 300 тысяч.
Заключительный этап операции связан с расширениями для Microsoft Edge, опубликованными издателем Starlab Technology в 2023 году. Пять таких расширений суммарно получили около 4 млн установок. По данным аналитиков, встроенный шпионский модуль в этих продуктах собирает историю посещений, поисковые запросы и вводимые символы, фиксирует щелчки мышью с координатами, параметры отпечатка устройства, содержимое локального и сессионного хранилища, а также файлы cookie, после чего отправляет данные на 17 доменов, расположенных в Китае. При этом набор прав у расширений позволяет в будущем встроить тот же тип удалённого управления, что применялся в связке с Clean Master, хотя признаков активации такой функциональности пока не выявлено.
После обращения Koi Security Google удалил выявленные расширения из Chrome Web Store. Однако кампания остаётся активной на площадке Microsoft Edge Add-ons. На момент публикации расследования в каталоге по-прежнему находились, в частности, «WeTab 新标签页» с заявленными 3 млн пользователей и «Infinity New Tab (Pro)» с примерно 650 тысячами установок.
Команда Koi Security передала свои выводы как Google, так и Microsoft, а также связалась с разработчиками расширений. Комментариев от последних пока не поступало.
Масштабная операция по распространению вредоносных расширений для браузеров Chrome и Edge, получившая название «ShadyPanda», годами развивалась почти незаметно и к настоящему моменту собрала более 4,3 млн установок. Расширения начинали свой путь как полезные инструменты для оформления и повышения удобства работы в браузере, но постепенно превращались в шпионское ПО .
По данным компании Koi Security, за кампанией стоит сеть из 145 расширений — 20 для Chrome и 125 для Edge. Их первые версии начали появляться в каталоге ещё в 2018 году и на старте не проявляли вредоносного поведения, что помогло им накопить положительные оценки и доверие. Злоумышленники стали использовать это только в 2023 году, когда часть расширений, маскирующихся под обои и средства повышения продуктивности, была задействована в партнёрском мошенничестве: в код внедрялись идентификаторы отслеживания для eBay, Booking.com и Amazon, чтобы получать прибыль с покупок пользователей.
В начале 2024 года одно из расширений под названием Infinity V+ начало перенаправлять поисковые запросы на сервис trovi[.]com, одновременно передавая файлы cookie на домен dergoodting[.]com и отправляя историю поисковых запросов на поддомены gotocdn. Таким образом, функциональность постепенно смещалась от навязчивой монетизации к более опасному контролю над трафиком и сбору данных .
Позже в 2024 году пять расширений, среди которых были и продукты, загруженные в магазин ещё в 2018-2019 годах, получили через обновление скрытый модуль с возможностью удалённого выполнения кода. По описанию Koi Security, каждый заражённый браузер регулярно обращается к серверу api.extensionplay[.]com за новыми инструкциями, загружает произвольный JavaScript и запускает его с полным доступом к интерфейсам браузера.
Одновременно собираются посещённые адреса сайтов, параметры цифрового профиля и постоянные идентификаторы, которые шифруются при помощи AES и отправляются на сервер api[.]cleanmasters[.]store. Одним из заметных примеров стало расширение Clean Master в каталоге Chrome, которое на момент обнаружения вредоносного поведения имело около 200 тысяч установок, а общий объём установок расширений с тем же вредоносным модулем достигал 300 тысяч.
Заключительный этап операции связан с расширениями для Microsoft Edge, опубликованными издателем Starlab Technology в 2023 году. Пять таких расширений суммарно получили около 4 млн установок. По данным аналитиков, встроенный шпионский модуль в этих продуктах собирает историю посещений, поисковые запросы и вводимые символы, фиксирует щелчки мышью с координатами, параметры отпечатка устройства, содержимое локального и сессионного хранилища, а также файлы cookie, после чего отправляет данные на 17 доменов, расположенных в Китае. При этом набор прав у расширений позволяет в будущем встроить тот же тип удалённого управления, что применялся в связке с Clean Master, хотя признаков активации такой функциональности пока не выявлено.
После обращения Koi Security Google удалил выявленные расширения из Chrome Web Store. Однако кампания остаётся активной на площадке Microsoft Edge Add-ons. На момент публикации расследования в каталоге по-прежнему находились, в частности, «WeTab 新标签页» с заявленными 3 млн пользователей и «Infinity New Tab (Pro)» с примерно 650 тысячами установок.
Команда Koi Security передала свои выводы как Google, так и Microsoft, а также связалась с разработчиками расширений. Комментариев от последних пока не поступало.
- Источник новости
- www.securitylab.ru
