Koi araştırmacıları, dünya çapında en az 4,3 milyon Chrome ve Edge kullanıcısını sessizce tehlikeye atan yedi yıllık bir tarayıcı uzantısı operasyonunu ortaya çıkardı.
ShadyPanda adlı tehdit aktörü, meşru görünen uzantıları uzun vadeli gözetim ve uzaktan erişim platformlarına dönüştürmek için tarayıcı pazarlarını sistematik olarak kötüye kullandı.
Koi’nin araştırması, aynı aktörle bağlantılı devam eden iki kampanyayı tespit etti. 300.000 kullanıcılı bir uzaktan kod yürütme (RCE) arka kapısı şu anda, daha önce Google tarafından “Öne Çıkan” ve “Doğrulanan” “Clean Master” da dahil olmak üzere beş silahlı uzantıda aktif durumda.
Yıllarca yasal olarak çalıştıktan sonra bu uzantılar, 2024’ün ortalarında sessiz güncellemeler yoluyla tersine çevrildi. Artık saldırgan altyapısını saatlik olarak kontrol ediyorlar, rastgele JavaScript indiriyorlar ve bunu tam tarayıcı API erişimiyle çalıştırıyorlar.
Kötü amaçlı yazılım, ziyaret edilen her siteyi izler, şifrelenmiş tarama geçmişini sızdırır ve uzun vadeli izleme için ayrıntılı tarayıcı parmak izlerini toplar.
Buna paralel olarak, 4 milyon kullanıcılı bir casus yazılım operasyonu, aynı kuruluş tarafından Microsoft Edge’de yayınlanan beş ek uzantı üzerinden yürütülüyor.
Yalnızca 3 milyon yüklemeyle amiral gemisi WeTab 新标签页 (WeTab Yeni Sekme Sayfası), her URL’yi, arama sorgusunu ve fare tıklamasını kaydeder ve verileri Çin’deki bir sunucu ağına gönderir.
Bu uzantılar Edge pazarında varlığını sürdürüyor ve yeni kurbanları bünyesine katmaya devam ediyor.
Ortaklık Dolandırıcılığından Tam Tarayıcı Kontrolüne
ShadyPanda’nın taktik kitabı birçok aşamadan geçerek gelişti.
2023’teki “Wallpaper Hustle”da aktör, Chrome ve Edge’de, “nuggetsno15” ve “rocket Zhang” yayıncılarının altında, duvar kağıdı veya üretkenlik araçları kılığına girmiş 145 uzantı yayınladı.
Açık kötü amaçlı yazılımlar yerine, eBay, Amazon ve Booking.com gibi sitelere yapılan ziyaretlere sessizce ortaklık kodları enjekte ettiler ve her ziyaretten, sorgudan ve tıklama düzeninden para kazanmak için katmanlı Google Analytics takibini yaptılar.
Kampanya ShadyPanda’ya üç ders verdi: incelemeler başvuru sırasında önden yüklenir, kullanıcılar yüksek yükleme sayılarına güvenir ve hasta uzantıları kaldırılmadan önce aylarca çalışabilir.
2024’ün başlarında grup, korsanlık ve çerez sızdırma olaylarını araştırmaya başladı.
“Infinity V+” uzantısı, tüm aramaları bilinen korsan trovi.com üzerinden yönlendirdi, kalıcı tanımlayıcılar oluşturmak için belirli alanlardan çerezler topladı ve kullanıcılar daha enter tuşuna basmadan arama kutusundaki tuş vuruşlarını harici sunuculara aktardı.
Kısmi sorgular, yazım hataları ve düzeltmelerin tümü şifrelenmemiş HTTP üzerinden yakalanarak kullanıcı amacının derinlemesine profilinin çıkarılmasına olanak sağlandı.
Uzun Oyun: Temiz Usta ve Ötesi
ShadyPanda’nın en tehlikeli değişimi 3. Aşama: “Uzun Oyun” ile geldi. 2018-2019’da yüklenen, 200.000’den fazla kuruluma sahip olan, yıllarca temiz bir şekilde çalıştırılan ve Öne Çıkan ve Doğrulanmış rozetleri kazanan Clean Master da dahil olmak üzere üç uzantı.
Aktör, erişimi optimize etmek için kurulumları sessizce izledikten sonra 2024 ortalarında kötü amaçlı bir güncelleme yayınlayarak 300.000’den fazla tarayıcıyı anında RCE özellikli bir botnet’e dönüştürdü.
Veri, saatlik bir komut ve kontrol döngüsü dağıtır, zaman damgaları ve yönlendirenlerle tüm tarama geçmişini süzer, chrome.storage.sync aracılığıyla tanımlayıcıları kalıcı hale getirir ve ağ trafiğini engellemek ve değiştirmek için bir hizmet çalışanını kullanır.
Bu özellik, HTTPS de dahil olmak üzere herhangi bir siteye kimlik bilgileri hırsızlığına, oturumun ele geçirilmesine ve içerik enjeksiyonuna kapıyı açar. Yoğun gizleme ve anti-analiz mantığı, geliştirici araçları açıldığında kötü amaçlı yazılımın zararsız davranışa dönmesine olanak tanır.
4. Aşamada ShadyPanda, yayıncı Starlab Technology on Edge aracılığıyla ölçeğini büyüttü ve toplamda 4 milyon yüklemeyi aşan beş uzantıyı piyasaya sürdü.
WeTab ve kardeş uzantıları, gerçek zamanlı tarama geçmişini, arama sorgularını, fare hareketlerini, sayfa etkileşim verilerini ve depolama içeriklerini toplayarak bunları Google Analytics’in yanı sıra Çin’deki birden fazla alana iletiyor.
Bu uzantılar geniş izinlere, otomatik güncellemelere sahiptir ve kamuya açık kalır; bu da aktörün bunları istediği zaman eksiksiz RCE arka kapılarına dönüştürebileceği anlamına gelir.
ShadyPanda kampanyası, tarayıcı uzantısı güvenliğinde sistemik bir arızayı ortaya çıkarıyor. Chrome ve Edge pazaryerleri hâlâ büyük ölçüde gönderim sırasında statik analize ve onay sonrasında güvene güveniyor; otomatik güncelleme ardışık düzenleri ise kod değişikliklerini anlamlı ve sürekli bir incelemeye ihtiyaç duymadan sağlıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.