Kifinomult támadás, hosszú előkészületek
A ShadyPanda névre keresztelt támadócsoport éveken át építgette az álcáját: eredetileg hasznosnak látszó, akár kiemelt, hitelesített státuszt is szerző bővítményeket terjesztettek, amelyeket több millióan töltöttek le. Csak később, amikor már sok felhasználónál volt telepítve a bővítmény, egy hirtelen frissítés során kártevőt juttattak el mindenkinek automatikusan. A Chrome- és Edge-bővítményboltok csak a beküldéskor vizsgálják ezeket az alkalmazásokat, így a későbbi kártékony frissítések zavartalanul átcsúsztak a rostán.
Teljes megfigyelés, rejtett adatlopás
A Koi biztonsági kutatói szerint öt bővítmény most is aktív az Edge piacterén, több mint négymillió telepítéssel. Az egyik fő kampányukban öt, távoli kódfuttatást lehetővé tévő hátsóajtót tartalmazó bővítményt használtak, amelyek összesen 300 000 felhasználót fertőztek meg – ezek közé tartozik a Clean Master, amelyet a Starlab Technology fejlesztett, és 200 ezernél is többen töltöttek le.
2024 közepén, amikor ezeket már több mint 300 ezren használták, a ShadyPanda frissítésként juttatta el a vírust minden érintett böngészőbe. A kártevő teljes körű böngészőmegfigyelést tett lehetővé: minden óra végén ellenőrizte a vezérlőszervert, letölthetett és futtathatott bárhonnan JavaScript-kódot, sőt HTTPS-oldalakat is képes volt megfertőzni.
Valós idejű adatküldés Kínába
A Clean Master minden böngészési tevékenységet, oldalcímeket, hivatkozókat, időbélyegeket, egyedi azonosítókat és teljes böngészőujjlenyomatot küldött el a támadóknak. Ha egy biztonsági szakértő a fejlesztői eszközt nyitotta meg, a kártevő leállt, hogy ne bukjon le.
Öt további, ugyanattól a fejlesztőtől származó bővítmény 2023-ban jelent meg, amelyek mostanra több mint négymillió letöltésnél járnak – ma is aktívak az Edge áruházban, kettő közülük pedig kémprogramként működik. A WeTab nevű bővítmény például hárommillió letöltésnél tart, és minden adatot elküld 17 különböző címre: Kínában 8 Baidu- és 7 saját szerverre, valamint a Google Analytics felé.
Módszeres adateladás és kulcslenyúlás
A ShadyPanda korábbi, mára inaktív támadásai között volt több mint száz Edge-bővítmény és húsz Chrome-bővítmény is, amelyek háttérképes vagy produktivitást növelő alkalmazásnak álcázták magukat. Ezek főként az eBayen, az Amazonon, illetve más oldalakon való böngészéseket figyelték, és affiliate-kódokkal, valamint Google Analytics-követéssel kereskedtek a felhasználói adatokkal.
Egy másik, szintén már leállított támadás 2023 elejéről egy Infinity V+ nevű újlap-bővítményhez kapcsolódik: itt a kereséseket átirányították, ellopták a cookie-kat, és naplózták a billentyűleütéseket is.
Összességében elmondható, hogy ezek az esetek jól mutatják, mennyire hiányos a bővítmények utólagos ellenőrzése – a jóváhagyás után már senki sem figyeli, mikortól válnak veszélyessé.
