Een bedreigingsacteur bekend als Schaduwrijke Panda is gekoppeld aan een zeven jaar durende browserextensiecampagne die in de loop van de tijd meer dan 4,3 miljoen installaties heeft opgeleverd.
Vijf van deze extensies begonnen als legitieme programma’s voordat er medio 2024 kwaadaardige wijzigingen werden geïntroduceerd, volgens een rapport van Koi Security, dat 300.000 installaties opleverde. Deze extensies zijn inmiddels verwijderd.
“Deze extensies voeren nu elk uur een externe code-uitvoering uit – waarbij willekeurig JavaScript wordt gedownload en uitgevoerd met volledige browsertoegang”, zei beveiligingsonderzoeker Tuval Admoni in een rapport gedeeld met The Hacker News. “Ze monitoren elk websitebezoek, exfiltreren de gecodeerde browsegeschiedenis en verzamelen volledige browservingerafdrukken.”
Tot overmaat van ramp werd een van de extensies, Clean Master, ooit door Google aanbevolen en geverifieerd. Door deze vertrouwenwekkende oefening konden de aanvallers hun gebruikersbestand uitbreiden en jaren later stilletjes kwaadaardige updates uitgeven zonder enige argwaan te wekken.
Ondertussen is een andere set van vijf add-ons van dezelfde uitgever ontworpen om elke URL bij te houden die door zijn gebruikers wordt bezocht, en om zoekopdrachten en muisklikken van zoekmachines te registreren en de informatie naar servers in China te verzenden. Deze extensies zijn ongeveer vier miljoen keer geïnstalleerd, waarbij WeTab alleen al goed is voor drie miljoen installaties.
De eerste tekenen van kwaadwillige activiteit zouden in 2023 zijn waargenomen, toen 20 extensies in de Chrome Web Store en 125 extensies in Microsoft Edge werden gepubliceerd door ontwikkelaars met respectievelijk de namen ‘nuggetsno15’ en ‘raket Zhang’. Alle geïdentificeerde extensies vermomd als achtergrond- of productiviteits-apps.
Deze extensies bleken zich bezig te houden met partnerfraude door heimelijk trackingcodes te injecteren wanneer gebruikers eBay, Booking.com of Amazon bezochten om illegale commissies te genereren uit de aankopen van gebruikers. Begin 2024 verschoof de aanval van ogenschijnlijk onschuldige injecties naar actieve browsercontrole via het omleiden van zoekopdrachten, het verzamelen van zoekopdrachten en het exfiltreren van cookies van specifieke domeinen.
“Elke zoekopdracht op internet werd omgeleid via trovi.com, een bekende browserkaper”, zei Koi. “Zoekopdrachten worden geregistreerd, er worden inkomsten mee gegenereerd en verkocht. Zoekresultaten worden gemanipuleerd voor winst.”
Ergens halverwege 2024 werden vijf extensies, waarvan er drie al jaren legitiem functioneerden, aangepast om een kwaadaardige update te verspreiden die backdoor-achtige functionaliteit introduceerde door het domein “api.extensionplay(.)com” één keer per uur te controleren om een JavaScript-payload op te halen en deze uit te voeren.
De payload is op zijn beurt ontworpen om elk websitebezoek te monitoren en de gegevens in gecodeerd formaat naar een ShadyPanda-server (“api.cleanmasters(.)store”) te sturen, samen met een gedetailleerde browservingerafdruk. Naast het gebruik van uitgebreide verduistering om de functionaliteit te verbergen, zorgt elke poging om toegang te krijgen tot de ontwikkelaarstools van de browser ervoor dat deze overschakelt naar goedaardig gedrag.
Bovendien kunnen de extensies Adversary-in-the-Middle (AitM)-aanvallen uitvoeren om diefstal van inloggegevens, sessiekaping en het injecteren van willekeurige code in elke website te vergemakkelijken.
De activiteit bereikte de laatste fase toen vijf andere extensies die rond 2023 op de Microsoft Edge Addons-hub werden gepubliceerd, waaronder WeTab, hun enorme installatiebasis gebruikten om uitgebreide surveillance mogelijk te maken, inclusief het verzamelen van elke bezochte URL, zoekopdrachten, muisklikken, cookies en browservingerafdrukken.
Ze zijn ook uitgerust met mogelijkheden om informatie te verzamelen over hoe een slachtoffer met een webpagina omgaat, zoals de tijd die deze heeft doorgebracht en het scrollgedrag. De WeTab-extensie kan op het moment van schrijven nog steeds worden gedownload.
De bevindingen schetsen het beeld van een aanhoudende campagne die zich in vier verschillende fasen afspeelde, waarbij de browserextensies geleidelijk veranderden van een legitieme tool in spyware voor het verzamelen van gegevens. Het is echter vermeldenswaard dat het niet duidelijk is of de aanvallers de downloads kunstmatig hebben opgeblazen om ze een illusie van legitimiteit te geven.
Gebruikers die de extensies hebben geïnstalleerd, wordt aangeraden deze onmiddellijk te verwijderen en hun inloggegevens uit grote voorzichtigheid te rouleren.
“Het automatische updatemechanisme – ontworpen om gebruikers veilig te houden – werd de aanvalsvector”, zei Koi. “De vertrouwde updatepijplijn van Chrome en Edge leverde stilletjes malware aan gebruikers. Geen phishing. Geen social engineering. Alleen vertrouwde extensies met stille versiehobbels die productiviteitstools in bewakingsplatforms veranderden.”
“Het succes van ShadyPanda gaat niet alleen over technische verfijning. Het gaat over het systematisch exploiteren van dezelfde kwetsbaarheid gedurende zeven jaar: Marketplaces beoordelen extensies bij indiening. Ze kijken niet wat er gebeurt na goedkeuring.”
