Ekstenzije su viđene kako profilišu korisnike, čitaju podatke iz kolačića radi kreiranja jedinstvenih identifikatora i izvršavaju payload-ove uz pristup browser API-ju.
Haker je objavio više od stotinu malicioznih ekstenzija koje mogu da prate i profilišu korisnike Chrome-a i Microsoft Edge-a, kao i da izvršavaju payload na njihovim sistemima, navodi Koi Security.
Prema podacima kompanije, haker, praćen pod nazivom ShadyPanda, postavlja naizgled bezazlene ekstenzije već oko sedam godina, a zatim ih weaponizuje nakon što stekne povjerenje korisnika.
Ekstenzije su sakupile preko četiri miliona preuzimanja, a neke su i dalje dostupne za download.
Tokom 2023. godine, kao dio kampanje fokusirane na affiliate prevare, ShadyPanda je objavio 20 Chrome ekstenzija pod imenom „nuggetsno15“ i 125 Edge ekstenzija pod imenom „Zhang“.
Te ekstenzije bile su dizajnirane da tiho ubacuju affiliate tracking kodove svaki put kada žrtva klikne na eBay, Amazon ili Booking.com linkove.
„Skrivene provizije na svaku kupovinu. Ekstenzije su takođe implementirale Google Analytics tracking radi monetizacije podataka o pretraživanju — svaka posjeta sajtu, svaki upit i svaki obrazac klika je logovan i prodat“, navodi Koi.
Početkom 2024. godine, haker mijenja taktiku — objavljuje ekstenziju koja se predstavlja kao alat za produktivnost tabova. Nazvana Infinity V+, preusmjeravala je pretrage preko browser hijackera trovi.com.
Dodatno, ShadyPanda je koristio maliciozni kod za čitanje kolačića žrtava i slanje tih podataka na nossl.dergoodting.com, čime su kreirani jedinstveni identifikatori bez znanja ili saglasnosti korisnika. Kod je takođe hvatao unos iz polja za pretragu, profilišući interesovanja korisnika u realnom vremenu.
Prije ovih kampanja, ShadyPanda je imao pet legitimnih ekstenzija u zvaničnoj prodavnici, uključujući tri objavljene između 2018. i 2019. godine.
Sve su dobile „Featured“ i „Verified“ statuse od Google-a, prije nego što je haker sredinom 2024. isporučio malicioznu nadogradnju. Jedna od njih, Clean Master, imala je više od 300.000 instalacija.
Ažuriranje je suštinski pretvorilo ekstenzije u okvir za daljinsko izvršavanje koda, tvrdi Koi. Svakog sata ekstenzije bi provjeravale spoljni server za instrukcije i izvršavale proizvoljan JavaScript kod uz pun pristup browser API-ju.
„Ovo nije malver sa unaprijed definisanom funkcijom. Ovo je bekdor. ShadyPanda odlučuje šta radi. Danas je nadzor, sjutra može biti ransomware, krađa kredencijala ili korporativna špijunaža. Mehanizam za ažuriranje radi automatski, na svaki sat, zauvijek“, navodi Koi.
Koi je posmatrao kako ekstenzije izvršavaju payload dizajniran da eksfiltrira browser podatke na udaljene servere. Uhvatile su prikupljanje posjećenih URL-ova, HTTP referera, vremenskih oznaka, trajnih UUID4 identifikatora i kompletnih browser otisaka, uz enkripciju svih podataka prije eksfiltracije.
Tokom 2023. godine, izdavač Clean Master ekstenzije za Edge, Starlab Technology, postavio je u Edge marketplace još pet ekstenzija, uključujući dvije koje su „kompletan špijunski softver“, prema Koiju.
Jedna od tih ekstenzija, nazvana WeTab New Tab Page, ima preko tri miliona preuzimanja. Dok se predstavlja kao alat za produktivnost, ona funkcioniše kao sofisticirana platforma za nadzor, šaljući korisničke podatke na 17 različitih domena, tvrdi Koi.
Sajber bezbjednosna firma navodi da je povezala ove kampanje na osnovu sličnosti u kodu, preklapajuće infrastrukture i posmatranih tehnika obfuskacije, koje su evoluirale tokom vremena.
Portparol Google-a potvrdio je da maliciozne ekstenzije nisu dostupne na Chrome Web Store-u.
„Uklonili smo sve ekstenzije identifikovane kao maliciozne iz Edge Add-on prodavnice. Kada postanemo svjesni slučajeva koji krše naša pravila, preduzimamo odgovarajuće akcije koje uključuju, ali nisu ograničene na uklanjanje zabranjenog sadržaja ili prekid ugovora o distribuciji“, navela je predstavnica kompanije.
Izvor: SecurityWeek