ShadyPanda w przeglądarkach. 7‑letnia kampania malware
Eksperci z Koi Security wykryli setki groźnych rozszerzeń do Chrome'a i Edge'a, które wykradają dane użytkowników i przekazują je na chińskie serwery. W praktyce rozszerzenia te zostały pobrane miliony razy i co za tym idzie - podobna liczba użytkowników mogła paść ofiarami ich działania.
Zespół Koi Security ogłosił, że niektóre wtyczki do przeglądarek Chrome oraz Edge służyły do kradzieży danych użytkowników, trafiając następnie na serwery w Chinach. Rozszerzenia spreparowane w ramach akcji opisywanej jako ShadyPanda, zostały zainstalowane ponad 4,3 mln razy, co oznacza potencjalnie masową skalę zagrożenia. Według raportu, kampania wykorzystująca szkodliwe dodatki trwa już od 2018 roku, choć szerzej ujawniona została dopiero po analizach w 2023 r.
Cyberprzestępcy skupili się na dystrybucji aż 145 różnych rozszerzeń, spośród których 20 było dostarczonych użytkownikom Chrome, natomiast aż 125 przeznaczono dla przeglądarki Edge. Specjaliści odkryli przy tym, że część dodatków wciąż jest dostępna w oficjalnym sklepie Microsoftu, mimo wcześniejszego usunięcia z platformy Google.
Jedno z rozszerzeń - WeTab - które dalej widnieje w sklepie Microsoft Edge, osiągnęło ponad 3 mln pobrań. Eksperci zaznaczają, że ta liczba może być zawyżona przez działania samej grupy przestępczej, która mogła sztucznie zwiększać liczbę instalacji, aby sprawić wrażenie, że dodatek jest cenny i warto pobrać go samodzielnie.
Pierwotnie twórcy szkodliwych rozszerzeń wykorzystywali oszustwa afiliacyjne, poprzez wprowadzanie własnego kodu do linków m.in. z Amazon czy eBay, generując zysk na koszt niczego nieświadomych użytkowników. Z czasem zasięg działań stał się znacznie szerszy.
W najnowszym stadium funkcjonalność wtyczek pozwala na wykradanie historii przeglądania, zapytań do wyszukiwarek, plików cookies, a także przechwytywanie ruchów myszką. Dodatkowo mogą one zdalnie uruchamiać szkodliwy kod na komputerze ofiary.
Fałszywe dodatki zostały wymienione na liście w formie identyfikatorów ze sklepów z rozszerzeniami, są to ciągi znaków jak eagiakjmjnblliacokhcalebgnhellfi czy ibiejjpajlfljcgjndbonclhcbdcamai. Wszystkie można sprawdzić u źródła. Następnie zaglądając do ustawień przeglądarki wypada zweryfikować, czy któreś z wymienionych nie jest zainstalowane w komputerze a jeśli tak - usunąć je. W następnej kolejności warto zadbać o bezpieczeństwo swoich danych, zakładając, że w wyniku działania rozszerzenia mogły wyciec do sieci. Dobrym ruchem będzie przede wszystkim zmiana haseł do kont oraz co do zasady stosowanie uwierzytelniania dwuetapowego.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
