Eksperci ds. cyberbezpieczeństwa odkryli groźne wtyczki, które zostały pobrane przez miliony użytkowników Google Chrome oraz Microsoft Edge. Co ciekawe początkowo rozszerzenia dostępne w Chrome Web Store i sklepie Microsoft Edge były czyste, jednak z czasem zostały zaktualizowane o złośliwy kod. Jest to klasyczna metoda na obejście zabezpieczeń platform z aplikacjami.
Według badaczy z firmy Koi kampania jest prowadzona przez chińską grupę hakerów ShadyPanda. Wykorzystują oni rozszerzenia popularnych przeglądarek internetowych, które kiedyś nie stwarzały zagrożenia, do szpiegowania użytkowników. Pierwsza operacja objęła co najmniej pięć wtyczek, które działały bez problemów aż przez pięć lat, zanim otrzymały złośliwy kod.
Kampania, która zagroziła milionom użytkowników Chrome i Edge
Jedno z rozszerzeń nosi nazwę Clean Master, a jego oficjalnym zadaniem było czyszczenie pamięci podręcznej. Narzędzie posiadało bazę ponad 200 tysięcy użytkowników i zostało nawet wyróżnione i oznaczone jako "Zweryfikowane" w Chrome Web Store. Rozszerzenie zostało już usunięte przez Google.
Eksperci ds. cyberbezpieczeństwa odkryli groźne wtyczki, które zostały pobrane przez miliony użytkowników Google Chrome oraz Microsoft Edge.
Źródło: Koi
W ramach drugiej operacji hakerzy wykorzystali kolejne pięć rozszerzeń, w tym popularne narzędzie do zarządzania kartami - WeTab, które zainstalowano ponad trzy miliony razy. W sumie te rozszerzenia mają ponad cztery miliony użytkowników na całym świecie.
W odróżnieniu od tych w pierwszych, pozostałe złośliwe rozszerzenia nadal są dostępne do pobrania na stronie dodatków Microsoft Edge. Choć firma z Redmond może je skasować w każdej chwili.
Jak działa złośliwe oprogramowanie
Złośliwy kod został umieszczony w rozszerzeniach w 2024 roku, a jego zadaniem było zbieranie danych o aktywności użytkowników w internecie. Wszystkie te informacje były wysyłane w czasie rzeczywistym na zewnętrzne serwery w Chinach. Złośliwe rozszerzenia działały jak zdalny system wykonywania kodu, automatycznie pobierając oraz uruchamiając JavaScript w przeglądarkach, bez zgody użytkowników. Uważa się, że ponad 4,3 miliona urządzeń zostało zainfekowanych w tej kampanii.
Zalecenia dla użytkowników
Badacze opublikowali listę identyfikatorów rozszerzeń Chrome i Edge, które są związane z tą kampanią. Jeśli używamy któregokolwiek z nich, należy jak najszybciej je odinstalować. Aby to zrobić, wystarczy przejść do chrome://extensions/ lub edge://extensions/ w zależności od przeglądarki, włączyć tryb deweloperski i sprawdzić identyfikatory opublikowane przez badaczy. Jeśli znajdziemy złośliwe rozszerzenie, klikamy "Usuń" i potwierdzamy wybór.
Ewolucja działań grupy ShadyPanda
Grupa ShadyPanda rozpoczęła swoje pierwsze ataki w 2023 roku, ale ich działalność w cyberprzestrzeni trwa co najmniej od 2018 r. Początkowo zajmowali się oszustwami afiliacyjnymi, w których złośliwe aplikacje wstawiały kody śledzenia afiliacyjnego, zbierając dane o zwyczajach zakupowych użytkowników.
Z czasem, rozszerzyli swoje operacje na szerszą grupę, wdrażając złośliwe aktualizacje do istniejących rozszerzeń, co pozwalało im unikać wykrycia.
Według badaczy, dla ShadyPandy łatwiej było wprowadzić złośliwe oprogramowanie, ponieważ Google nie sprawdza zaktualizowanych rozszerzeń tak dokładnie, jak nowych aplikacji w sklepie.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
Groźne rozszerzenia odkryte w Chrome i Microsoft Edge. Cztery miliony przeglądarek zainfekowanych