Много лет существующая вредоносная кампания под названием ShadyPanda собрала более 4,3 млн установок расширений для Chrome и Edge, которые внешне выглядели легитимными, но со временем превратились в полноценное вредоносное ПО.
По данным Koi Security, операция развивалась поэтапно: на каждом этапе в расширения добавлялись новые вредоносные функции. В итоге инструменты, которые изначально выглядели безопасными, превратились в шпионское ПО.
Всего ShadyPanda включает 145 вредоносных расширений: 20 для Chrome и 125 для Edge. Google уже удалил их из интернет-магазина Chrome, но кампания остается активной в каталоге Microsoft Edge Add-ons. По данным Koi, одно из расширений в Edge до сих пор отображается с отметкой 3 млн установок.
При этом до конца не ясно, накручивались ли эти цифры искусственно для создания видимости популярности.
Кампания ShadyPanda
Первые загрузки расширений появились еще в 2018 году, но вредоносная активность проявилась только с 2023 года. Тогда группа начала использовать расширения, маскирующиеся под инструменты с обоями и полезными функциями.
Исследователи обнаружили, что эти расширения внедряли партнерские трекинговые коды eBay, Booking.com и Amazon в легитимные ссылки. Это позволяло злоумышленникам получать деньги с покупок пользователей — классическая схема партнерского мошенничества.
В начале 2024 года расширение Infinity V+ стало перехватывать поисковые запросы, что показало: операторы ShadyPanda начали действовать заметно смелее.
По данным Koi Security, Infinity V+ перенаправляло поисковые запросы на trovi[.]com, отправляло cookies пользователей на dergoodting[.]com, а сами поисковые запросы — на поддомены gotocdn.
В 2024 году пять расширений — три из которых были загружены еще в 2018–2019 годах и успели заработать репутацию надежных — получили обновление со встроенным бэкдором, который обеспечивал удаленное выполнение кода (RCE).
Koi Security объясняет работу механизма так:
Каждый инфицированный браузер запускает фреймворк для удаленного выполнения кода. Каждый час он обращается к api.extensionplay[.]com, получает новые инструкции, загружает произвольный JavaScript и выполняет его, имея полный доступ к браузерным API.
Это не обычное вредоносное ПО с заранее заданной функцией. Это полноценная закладка — бэкдор.
Функция удаленного выполнения кода (RCE) в расширениях ShadyPanda. Источник: Koi Security
Фактически это универсальный инструмент удаленного контроля, а не стандартное вредоносное ПО с фиксированной функцией.
Бэкдор отправлял историю браузера, информацию для отпечатка устройства и постоянные идентификаторы на api[.]cleanmasters[.]store. Данные передавались в зашифрованном виде (AES).
Одним из примечательных расширений в этой группе стал Clean Master. К моменту обнаружения вредоносной активности расширение имело 200 000 установок. В общей сложности расширения из этой подгруппы собрали около 300 000 установок.
Расширение Clean Master, использовавшееся в кампании ShadyPanda. Источник: Koi Security
Последний этап кампании, который остается активным прямо сейчас, связан с пятью расширениями для Microsoft Edge, опубликованными компанией Starlab Technology в 2023 году. С тех пор они набрали около 4 млн установок.
По словам аналитиков, шпионский модуль в этих расширениях собирает и отправляет на 17 доменов в Китае следующие данные:
- Историю просмотров;
- Поисковые запросы и нажатия клавиш;
- Клики мыши с координатами;
- Данные для отпечатка устройства;
- Содержимое локального и сессионного хранилища;
- Cookies и другие данные.
Типы данных, похищаемых с зараженных устройств. Источник: Koi Security
Кроме того, у расширений достаточно прав, чтобы получить точно такой же RCE-бэкдор, как в Clean Master. Пока что признаков активации этого функционала нет, но техническая возможность присутствует.
Koi Security сообщает, что уже уведомила Google и Microsoft. Google удалил расширения из своего магазина, однако в каталоге Edge Add-ons по состоянию на публикацию все еще доступны WeTab (3 млн пользователей) и Infinity New Tab Pro (650 тыс. пользователей).
Шпионское расширение для Microsoft Edge, используемое в кампании ShadyPanda. Источник: Koi Security
Koi Security опубликовала полный список ID всех вредоносных расширений, связанных с ShadyPanda.
Пользователям рекомендуется немедленно удалить подозрительные расширения и сменить пароли для всех своих аккаунтов.
Угрозы безопасности
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud
• В атаках ClickFix используется фальшивый экран обновления Windows для установки вредоносного ПО