Масштабная вредоносная кампания, продолжающаяся несколько лет, превратила доверенные расширения для браузеров Chrome и Edge в инструменты слежки за пользователями. Согласно подробному отчету компании Koi Security, операция ShadyPanda затронула 4,3 миллиона пользователей, которые скачали расширения, впоследствии обновленные с скрытым вредоносным кодом.
Детали событий и характеристика кампании ShadyPanda
Операция включала 20 вредоносных расширений для Chrome и 125 — для магазина расширений Microsoft Edge. Первые версии появлялись еще в 2018 году и не вызывали подозрений у пользователей. Спустя пять лет эти расширения начали получать постепенные обновления, меняющие их функционал. Обновления распространялись через встроенную автоматическую систему обновлений браузеров, без участия пользователя. Это позволяло злоумышленникам незаметно внедрять слежку и управлять расширениями.
В ходе кампании злоумышленники внедрили код слежки, собирающий широкую гамму данных: историю просмотров, поисковые запросы, куки, нажатия клавиш, отпечатки браузера, координаты мыши и локальные хранилища. После получения доверия в магазинах расширений, злоумышленники выпустили обновление с бэкдором, позволяющим удаленно выполнять код на часовой основе, что дало полный контроль над браузером.
Хронология и основные пункты кампании
— 2018 год: появление первых расширений без подозрительных признаков
— 2023 год: начало массовых staged-обновлений, меняющих поведение расширений
— Обновления распространялись через автоматические системы обновлений браузеров
— Вредоносные расширения собирали личные данные и использовали их для монетизации
— Были обнаружены возможности запуска атак типа «человек посередине» и кражи учетных данных
— Google и Microsoft удалили вредоносные расширения из своих магазинов
Позиции сторон, цитаты и реакция компаний
Google подтвердил, что все выявленные вредоносные расширения были удалены из Chrome Web Store, и заявил: «На текущий момент ни один из перечисленных расширений не активен на платформе». Представитель Microsoft сообщил: «Все выявленные вредоносные расширения для Edge были удалены, и мы продолжаем следить за соблюдением наших политик». Несмотря на это, в некоторых случаях злоумышленники используют скрытые обновления для обхода обнаружения, что подчеркивает важность регулярной проверки установленных расширений.
Контекст и возможные последствия
Данная кампания демонстрирует, насколько опасными могут быть расширения браузеров, даже если они выглядят безобидными. Успешная интеграция обновлений и доверие к магазинам позволяют злоумышленникам незаметно внедрять шпионский функционал. Для пользователей рекомендуется регулярно проверять установленные расширения, удалять подозрительные и использовать антивирусные программы, способные обнаруживать подобные угрозы. В случае обнаружения вредоносных расширений необходимо немедленно их удалять и менять пароли, особенно если расширения имели доступ к личной информации.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты