4,3 milyon Chrome ve Edge kullanıcısına başarıyla bulaşan yedi yıllık bir kampanyadan sorumlu, gelişmiş bir tehdit aktörü olan “ShadyPanda”.
ShadyPanda, tarayıcı pazarlarının doğasında olan güvenden yararlanarak, geleneksel güvenlik alarmlarını tetiklemeden uzaktan kod yürütme (RCE) arka kapılarını ve büyük casus yazılım operasyonlarını dağıtmak için “Öne Çıkan” ve “Doğrulanmış” uzantıları silah haline getirdi.
Soruşturma, ShadyPanda’nın stratejisinin acil istismardan ziyade sabra dayandığını ortaya koyuyor. Grup, bir kullanıcı tabanı oluşturmak ve Google ile Microsoft’tan güvenilir bir statü kazanmak için yıllarca “Clean Master” gibi meşru uzantıları işletti.
2024’ün ortalarında 300.000 kişilik bir kullanıcı tabanı oluşturduktan sonra sessiz ve kötü amaçlı bir güncelleme yayınladılar.
Bu güncelleme, uzantıları saatlik RCE araçlarına dönüştürdü. Virüs bulaşan her tarayıcı artık bir komut ve kontrol sunucusunu (api.extensionplay) kontrol ediyor[.]com) her saat başı, tam tarayıcı ayrıcalıklarıyla rastgele JavaScript indirip çalıştırıyor.
Bu mekanizma, aktörün, statik analizi tamamen atlayarak, yükleri bugünün gözetiminden yarın potansiyel fidye yazılımına veya kimlik bilgisi hırsızlığına dinamik olarak geçirmesine olanak tanır.
4,3 Milyon Chrome ve Edge Kullanıcısı Hacklendi
RCE operasyonu cerrahi olsa da ShadyPanda’nın 4. Aşama kampanyası endüstriyel ölçektedir. Popüler “WeTab” dahil olmak üzere Microsoft Edge pazarındaki beş aktif uzantı şu anda 4 milyondan fazla kullanıcı tarafından kullanılıyor.
Kaldırılan Chrome uzantılarının aksine, bu Edge eklentileri yayında kalmaya devam ediyor. Kapsamlı tarayıcı parmak izlerini, arama sorgularını ve tam URL’leri aktif olarak toplayarak verileri Baidu ve özel altyapı da dahil olmak üzere Çin’deki sunuculara aktarıyorlar.
Kötü amaçlı yazılım, fare tıklamalarını piksel düzeyinde hassasiyetle yakalar ve göz atma geçmişini gerçek zamanlı olarak sızdırarak kurumsal ve kişisel tarayıcıları etkili bir şekilde açık gözetim cihazlarına dönüştürür.
Koi Güvenlik raporuna dayanarak burada ShadyPanda kötü amaçlı yazılım kampanyaları tarafından toplanan ve sızdırılan belirli veri noktalarının ayrıntılı bir dökümü bulunmaktadır.
| Veri Kategorisi | Toplanan Özel Ayrıntılar | Kampanya / Kaynak | Süzme Yöntemi |
|---|---|---|---|
| Göz Atma Etkinliği | – Ziyaret edilen her sitenin tam URL geçmişi – HTTP Yönlendiricileri (navigasyon kaynağını gösteren) – Gezinme modelleri ve zaman damgaları |
Aşama 3 (Temiz Usta) Aşama 4 (WeTab) |
Şifreli AES (Aşama 3) Gerçek zamanlı iletim (Aşama 4) |
| Kullanıcı Girişi ve Arama | – Arama sorguları (Google, Bing vb.) – Gerçek zamanlı tuş vuruşları (yazım hatalarını ve düzeltmeleri yakalama) – Arama öncesi amaç (“Enter” tuşuna basılmadan önce profil oluşturma) |
Aşama 2 (Sonsuz V+) Aşama 4 (WeTab) |
Şifrelenmemiş HTTP (Aşama 2) Baidu/WeTab sunucularına aktarıldı (Aşama 4) |
| Cihaz Parmak İzi | – Kullanıcı Aracısı dizeleri – İşletim Sistemi ve Platform – Ekran çözünürlüğü ve Saat Dilimi ayarları – Sistem dili |
Aşama 3 Aşama 4 |
İzleme önleme araçlarına dayanabilen benzersiz profiller oluşturmak için kullanılır |
| Davranışsal Biyometri | – Fare tıklaması koordinatları (X/Y konumları) – Tıklanan belirli sayfa öğeleri – Kaydırma davranışı ve derinliği – Belirli sayfalarda geçirilen aktif süre |
Aşama 4 (WeTab) | Çin’deki gözetim sunucularına gönderilen yüksek frekanslı kayıtlar |
| Kimlik ve Depolama | – Kalıcı UUID4 tanımlayıcıları (tarayıcı yeniden başlatıldığında hayatta kalır) – localStorage ve sessionStorage içeriği – Tarayıcı Çerezleri (oturumun ele geçirilmesini sağlar) |
Aşama 2 Aşama 3 Aşama 4 |
– Kalıcı UUID4 tanımlayıcıları (tarayıcı yeniden başlatıldığında hayatta kalır) – localStorage ve sessionStorage içeriği – Tarayıcı Çerezleri (oturumun ele geçirilmesini sağlar) |
ShadyPanda’nın başarısı, tarayıcı güvenlik modelindeki kritik bir kusurun altını çiziyor: güven statiktir, ancak kod dinamiktir. Oyuncu, ilk incelemeyi geçerek ve otomatik güncelleme hattını silahlandırmak için yıllarca bekleyerek, Chrome ve Edge mağazalarının birincil savunma mekanizmasını atladı.
Kullanıcıları güvende tutmak için tasarlanan otomatik güncelleme özelliği, enfeksiyonu doğrudan kurumsal güvenlik duvarlarının arkasına yayan vektör haline geldi.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
