Οι Cyberhackers μόλις μετέτρεψαν 150 επεκτάσεις προγράμματος περιήγησης σε ιούς

Ενώ ορισμένοι καταναλωτές ξοδεύουν ώρες ερευνώντας επεκτάσεις που πρέπει να προστεθούν στο Google Chrome, οι περισσότεροι δεν σκέφτονται ποιες πρέπει να διαγράψουν. Μετά από μια επταετή εκστρατεία διαδικτυακού hacking που μόλυνε περίπου 4,3 εκατομμύρια προγράμματα περιήγησης Chrome και Edge με λογισμικό υποκλοπής spyware, ίσως είναι καιρός να κάνουμε ακριβώς αυτό. Ονομάστηκε ShadyPanda από την εταιρεία ερευνών στον κυβερνοχώρο Koi Securityη οποία ανέφερε για πρώτη φορά το πρόγραμμα τον Δεκέμβριο του 2025, η ομάδα διαχειριζόταν αρκετές νόμιμες επεκτάσεις προγράμματος περιήγησης για χρόνια πριν τις χρησιμοποιήσει για να συλλέξει δεδομένα περιήγησης στους χρήστες του στον ιστό. Σύμφωνα με την Koi Security, η κινεζική ομάδα hacking είναι ένα ουσιαστικό παράδειγμα του τρόπου με τον οποίο κακόβουλοι παράγοντες επιτίθενται σε δημοφιλείς αγορές όπως η Google και ο Microsoft Edge, συγκεντρώνοντας πελάτες πριν προχωρήσουν σε ενημερώσεις λογισμικού που μολύνουν τα θύματα με επικίνδυνο κακόβουλο λογισμικό. Μετά την αναφορά, αρκετές πρόσθετες επεκτάσεις που εμπλέκονται στο έργο εντοπίστηκαν δημόσια από το Ειδήσεις χάκερ:

• Clean Master: το καλύτερο Chrome Cache Cleaner
• Speedtest Pro-Δωρεάν διαδικτυακή δοκιμή ταχύτητας στο Διαδίκτυο
• BlockSite
• Εναλλαγή μηχανής αναζήτησης γραμμής διευθύνσεων
• SafeSwift Νέα καρτέλα
• Infinity V+ Νέα καρτέλα
• OneTab Plus: Tab Manage & Productivity
• WeTab 新标签页
• Infinity Νέα καρτέλα για κινητά
• Infinity New Tab (Pro)
• Infinity Νέα καρτέλα
• Dream Afar Νέα καρτέλα
• Download Manager Pro
• Ταπετσαρία με θέμα Galaxy HD 4k Αρχική σελίδα
• Ταπετσαρία Halo 4K HD Homepage

Όταν η Koi έκανε την ιστορία, πολλές από αυτές τις εφαρμογές εξακολουθούσαν να είναι ενεργές τόσο στο Google Chrome όσο και στα καταστήματα του προγράμματος περιήγησης Microsoft Edge. Ωστόσο, σύμφωνα με δήλωση που δόθηκε στο The Hacker News, η Microsoft δήλωσε ότι είχε αφαιρέσει όλες τις επεκτάσεις που εντοπίστηκαν στην απάτη. Ακολουθώντας το σχέδιο, οι ειδικοί προτείνουν στους χρήστες να αφαιρέσουν τυχόν μη αναγνωρισμένες επεκτάσεις προγράμματος περιήγησης, να ελέγξουν τα δικαιώματα απορρήτου και να επικεντρωθούν μόνο σε αξιόπιστους προγραμματιστές. Για τη μεγάλη βιομηχανία, η υπόθεση είναι μια συναρπαστική ματιά σε ένα συνεχώς εξελισσόμενο τοπίο απειλών, παρέχοντας βασικά μαθήματα για την πρόληψη μελλοντικών επιθέσεων.

Το ShadyPanda δημοσίευσε την πρώτη από τις 150+ επεκτάσεις του προγράμματος περιήγησης ιστού το 2018, συγκεντρώνοντας σχεδόν 4,3 εκατομμύρια χρήστες σε διάστημα έξι ετών. Αυτές οι εφαρμογές λειτουργούσαν νόμιμα για επτά χρόνια, κερδίζοντας την εμπιστοσύνη μιας διευρυνόμενης βάσης χρηστών. Η πρώτη επίθεση σημειώθηκε στις αρχές του 2024, μετατρέποντας 145 εφαρμογές ταπετσαρίας και παραγωγικότητας σε φορείς μαζικής απάτης συνεργατών, κατά την οποία χάκερ εισήγαγαν κωδικούς παρακολούθησης κάθε φορά που οι χρήστες έκαναν αγορές σε δημοφιλή διαδικτυακά καταστήματα για να κλέψουν κρυφά προμήθειες από αγορές όπως η Amazon και η Booking.com. Η ομάδα χρησιμοποίησε επίσης το Google Analytics για την παρακολούθηση, την καταγραφή και την πώληση των δεδομένων περιήγησης των χρηστών.

Η ομάδα ξεκίνησε ένα πιο τολμηρό, δεύτερο κύμα εγκληματικότητας το 2024, όπου εφαρμογές όπως το Infinity V+ χρησιμοποίησαν τεχνικές ανακατεύθυνσης αναζήτησης, cookies, exfiltration και συλλογής ερωτημάτων αναζήτησης για να καταγράφουν και να δημιουργούν έσοδα από τη δραστηριότητα του προγράμματος περιήγησης των χρηστών χωρίς τη συγκατάθεσή τους. Παρόλο που αυτές οι επιθέσεις αναγνωρίστηκαν εύκολα και διαταράχθηκαν από επαγγελματίες ασφαλείας, με αρκετές εφαρμογές που αφαιρέθηκαν εντός εβδομάδων από την ενορχήστρωσή τους, έθεσαν το τραπέζι για τις μεγαλύτερες, πιο παραγωγικές επιθέσεις του οργανισμού. Λαμβάνοντας πέντε από τις πιο δημοφιλείς επεκτάσεις προγράμματος περιήγησης του οργανισμού, πολλές από τις οποίες μεταφορτώθηκαν ήδη από το 2018 και απέκτησαν την κατάσταση Επιλεγμένα και Επαληθευμένα, η ομάδα ανέβασε κακόβουλες ενημερώσεις λογισμικού που μόλυνε περισσότερους από 300.000 χρήστες του Chrome και του Edge με κακόβουλο λογισμικό.

Μετά τις κακόβουλες ενημερώσεις, οι οποίες εκμεταλλεύτηκαν τις ρυθμίσεις αυτόματης ενημέρωσης των χρηστών, αυτές οι πέντε επεκτάσεις, συμπεριλαμβανομένων των Speedtest Pro-Free Online Speed ​​Test και Clean Master, δημιούργησαν μια κερκόπορτα μέσω της οποίας το ShadyPanda μπορούσε να παρέχει ransomware, να εκτελεί κλοπή διαπιστευτηρίων, να κλέβει δεδομένα περιήγησης και να διεξάγει εταιρική κατασκοπεία. Η επιτυχία αυτών των επιθέσεων έθεσε τις βάσεις για αυτό που θα γινόταν μια απάτη τεσσάρων εκατομμυρίων+ θυμάτων spyware.

Η επόμενη απάτη του Shadypanda προσέλκυσε τέσσερα εκατομμύρια χρήστες του Microsoft Edge μέσω επεκτάσεων όπως το WeTab. Δημοσιεύτηκε από την StarLab Technology, το WeTab συγκέντρωσε πάνω από τρία εκατομμύρια χρήστες μόνο. Μεταμφιεσμένες ως εργαλεία παραγωγικότητας, αυτές οι επεκτάσεις spyware λειτουργούσαν νόμιμα για δύο χρόνια προτού συλλέξουν αθόρυβα το σύνολο των δεδομένων περιήγησης των χρηστών τους, που κυμαίνονται από ερωτήματα αναζήτησης, πληκτρολογήσεις, κινήσεις του ποντικιού και συμπεριφορά κύλισης έως δαχτυλικά αποτυπώματα του προγράμματος περιήγησης, όπως ανάλυση οθόνης, γλώσσα και χρόνο προβολής. Στη συνέχεια, επεκτάσεις όπως το WeTab διέφυγαν αυτές τις πληροφορίες σε 15 κινεζικούς τομείς.

Αν και λιγότερο επεμβατική από την προηγούμενη απάτη της ομάδας, ήταν πολύ πιο παραγωγική και παρουσίαζε την ίδια ικανότητα να ωθεί τις κερκόπορτες RCE στα συστήματα των χρηστών. Μαζί, οι λειτουργίες του Shadypanda προσφέρουν πολλά μαθήματα για χρήστες, προγραμματιστές και αγορές προγραμμάτων περιήγησης. Ουσιαστικά, επισημαίνει ένα σημαντικό ελάττωμα ασφαλείας στην ευρύτερη αγορά επεκτάσεων και εφαρμογών, όπου οι διαδικασίες δέουσας επιμέλειας τελειώνουν στο στάδιο της έγκρισης, επιτρέποντας έτσι στους χάκερ να επιτίθενται στα θύματα μέσω κακόβουλων ενημερώσεων λογισμικού, συχνά χειραγωγώντας τις ρυθμίσεις αυτόματης ενημέρωσης με γνώμονα την ασφάλεια. Όπως επισημαίνει η Koi Security, ωστόσο, αυτά τα προβλήματα ξεπερνούν κατά πολύ το ShadyPanda και τους πάνω από τέσσερα εκατομμύρια χρήστες του.

Αντίθετα, αντικατοπτρίζουν ευρύτερες ευπάθειες στις ηλεκτρονικές αγορές, θέτοντας το έδαφος για παρατεταμένες επιχειρήσεις hacking από εγκληματικά δίκτυα και ομάδες που χρηματοδοτούνται από το κράτος. Ως εκ τούτου, οι αγορές πρέπει να προσαρμόσουν ανάλογα τις συσκευές ασφαλείας τους. Για τους χρήστες, επισημαίνει μια βασική ευπάθεια: την εμπιστοσύνη. Είτε πρόκειται για άφθονη πίστη στους αριθμούς λήψης, τις διαδικτυακές κριτικές ή τα σήματα επαλήθευσης, οι χρήστες πρέπει να είναι προσεκτικοί στην έρευνα σε όλους όσους επιτρέπουν την πρόσβαση στα δεδομένα τους, καθώς επικίνδυνο κακόβουλο λογισμικό μπορεί να κρύβεται σε οτιδήποτε, από βιντεοπαιχνίδια έως εφαρμογές iPhone. Ακόμη και προγράμματα περιήγησης τεχνητής νοημοσύνης έχει βρεθεί ότι κατασκοπεύουν τους χρήστες τους, υπογραμμίζοντας την ανάγκη οι καταναλωτές να αξιολογούν καλύτερα την ασφάλεια των δεδομένων τους.